정보보호관리체계(ISMS) 인증과 개인정보보호관리체계(PIMS) 인증을 통합한 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증제도가 지난달 7일 시행됨에 따라 정보보호인증 솔루션·컨설팅 시장이 술렁이고 있다.
국내 정보보호 인증의 양 대축을 통합한 ISMS-P 인증제도 등장으로 정보보호 인증 솔루션·컨설팅 시장이 활력을 얻을 것으로 예측되기 때문이다. 그동안 사업자들은 통제항목이 유사한 ISMS와 PIMS를 각각 인증 받는 과정에서 서류준비에 이중으로 시간을 소비하고 비용을 지출하는 등 인증을 동시 획득하는데 부담을 안고 있었다.
정부는 ISMS 인증과 PIMS 인증 통합을 위해 마련한 고시를 지난달 7일부터 시행에 들어갔다. 단, 고시 시행 후 6개월까지는 개정 이전 인증 기준을 따른다. 이번 개정은 중복 인증으로 인한 부담 완화가 필요하다는 업계 의견을 고려, 기존 두 인증 간 인증체계, 인증기준, 인증·심사기관 등 제도 전반을 놓고 실질적인 통합을 이룬 것이다.
기업들은 이번에 새롭게 개편한 102개 통합 인증기준 중 정보보호 관련 80개 인증항목으로 기본적인 'ISMS인증'을 받을 수 있다. 개인정보 관련 22개 인증항목을 추가하면 'ISMS-P' 인증도 받는다.
ISMS 인증은 정보보호 관리과정, 보안대책 등 기업 정보보호 관리 체계에 대한 적정성을 심사하는 제도다. 법적으로 의무대상자는 인증을 받아야 한다. ISP·IDC사업자, 매출이 1500억원 이상인 업체나 기관이면서 최근 3개월간 이용자수가 1만명 이상인 대학 혹은 금융회사 등이 의무대상이다.
PIMS 인증은 개인정보의 수집〃이용〃파기 등 개인정보보호 관리 체계의 적정성을 심사하는 제도이다. PIMS 인증 획득 여부는 사업자 선택 사항이다.
기업들은 현재 의무적으로 받아야하는 ISMS 인증 획득에만 매달리는 모양새를 취하고 있다. 상대적으로 PIMS 인증 신청은 저조한 편이다. 실제 KISA가 집계한 ISMS·PIMS 인증서 발급 현황 통계(2011~2018년 기준)에 따르면 ISMS인증서는 현재 826건이 유효기간(3년)을 유지하고 있다.
반면 PIMS 인증서는 75건에 그쳤다. 개인정보 유출 피해를 예방하기 위해 일정 기한이 지나면 수집한 개인정보를 파기·별도 보관해야하는 개인정보주기관리 항목을 담은 PIMS 인증제도가 의무규정이 아니란 이유로 대기업 위주로만 유지되는 실정이다.
정부는 그동안 선택 사항인 PIMS 인증 획득에 소홀했던 상당수 기업들이 ISMS-P인증 획득에 관심을 기울일 것으로 기대했다. 인증 절차에 걸리는 시간투자와 비용부담을 덜었기 때문이다. 또 ISMS 인증을 획득했거나 준비 중인 기업들이 보다 강력한 개인정보보호 체계 수립을 위해 ISMS-P 인증을 신청하도록 유도할 계획이다.
IT 업계는 정보보호체계 인증 통합을 계기로 유사 인증 중복관리와 대응을 위한 비용을 절감하는 것은 물론 효율적인 인증 취득·관리로 기업의 개인 정보보호 체질을 강화할 수 있는 체계를 마련한 것으로 평가했다.
업계 관계자는 “현재 정보보호 관리 체계 인증을 획득·유지하기 위해 매년 수천만 원의 비용과 자원을 투입하는 만큼 ISMS-P 효과를 보기 위해선 인증만을 위한 증적관리에만 집중하지 말고 기업의 정보보호 체질을 강화하는 체계를 수립하고 유지하는 노력이 필요하다”고 덧붙였다.
안수민기자 smahn@etnews.com
