정보보호 인증 기업이 반복적으로 개인정보보호법을 반복적으로 위반하거나 고의·중과실 위반 행위로 사회적으로 큰 영향을 끼칠 경우 인증이 취소된다. 또 인증 사후 심사에서 중대한 결함이 발견되면 인증이 취소될 수 있다.
개인정보보호위원회와 과학기술정보통신부는 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 방안을 확정했다.이번 회의엔 한국인터넷진흥원(KISA)·금융보안원 등 인증기관과 민간 전문가들로 구성된 인증위원회와 함께 참여했다.
먼저, 인증기업이 연 1회 받는 사후 심사를 강화한다. 구체적으로 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치 관리 등 실제 사고와 밀접하게 연관된 핵심 항목을 집중적으로 점검한다. 특히 사후관리 미이행 등 거부 시, 자료를 제출하지 않거나 허위로 제출할 경우 인증을 취소한다. 또 점검 결과 중대 결함이 발견된 경우, 인증위원회의 심의를 거쳐 인증을 취소한다.
아울러 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받을 시 위반행위 중대성을 따져 인증을 취소한다. 특히 1000만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우 원칙적으로 인증을 취소한다는 방침이다. 현재 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에서도 법을 위반하고 행위가 중대한 경우 인증을 취소할 수 있도록 개정 작업이 진행 중이다.
인증 취소 이후 관리 방안도 마련한다. 의무대상 기업에 대해선 취소 이후 1년간 재신청 유예기간을 둬 실질적인 보안 개선이 이뤄지도록 유도한다. 해당 기간 중 인증 의무 미이행 과태료를 면제해 기업의 불필요한 부담을 방지한다. 또 의무대상이 아닌 기업은 지속적 관리 체계를 구축하기 위해 인증 재취득을 권고하기로 했다.
개인정보위와 과기정통부는 “인증제도의 신뢰성을 회복하고 실효성을 높이겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
