2026.04.10 (금)

  • 흐림동두천 10.1℃
  • 맑음강릉 13.7℃
  • 흐림서울 9.8℃
  • 흐림대전 10.0℃
  • 맑음대구 14.4℃
  • 맑음울산 15.3℃
  • 흐림광주 9.7℃
  • 맑음부산 16.5℃
  • 흐림고창 9.2℃
  • 맑음제주 13.0℃
  • 구름많음강화 9.3℃
  • 흐림보은 10.0℃
  • 흐림금산 9.8℃
  • 흐림강진군 11.3℃
  • 맑음경주시 14.7℃
  • 맑음거제 14.8℃
기상청 제공

뉴스

개인정보 유출 사전예방 강화…개인정보보호 인증제 전면 개편

대규모 개인정보처리자 인증 의무화…'강화·표준·간편' 3단계 체계 도입
서면심사 탈피 현장 중심 실증 심사 도입…사후관리·인증취소 기준도 강화
개인정보보호위원회

[한국방송/오창환기자] 정부가 개인정보 유출과 사이버 침해사고를 막기 위해 정보보호 관리체계 인증제도(ISMS·ISMS-P)를 근본적으로 손질한다. 

 

서면 중심의 형식적 심사에서 벗어나 현장실증·기술심사를 도입하고, 통신사·이커머스 등 대규모 개인정보처리자에 대해선 인증을 의무화하는 것이 핵심이다.

 

개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 이같은 내용을 담은 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.

 

이번 방안은 최근 통신사·이커머스 해킹 등 인증기업에서도 사고가 발생함에 따라 인증제도의 실효성에 대한 우려가 커진 데 따른 것으로, 인증 대상·기준부터 심사방식, 사후관리, 심사품질까지 전면 개편하는 것이 핵심이다.


송경희 개인정보보호위원장이 10일 서울 종로구 정부서울청사에서 열린 비상경제본부회의 겸 경제관계장관회의에서 발언하고 있다. 2026.4.10 (사진=연합뉴스)

 

인증 의무대상 확대…위험 기반 3단계 체계로 개편

 

먼저, 국민 생활에 미치는 영향이 큰 대규모 개인정보처리자에 대해 개인정보보호 인증을 의무화 한다.

 

주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 일정 규모 이상의 민간 기업 등이 대상이며, 단계적으로 적용 범위를 확대할 계획이다.

 

또한 기존의 획일적인 인증 기준을 개선해 '강화인증·표준인증·간편인증' 3단계 체계로 재편한다. 위험 기반의 차등화된 관리체계를 구축하는 것이다. 

 

특히 국민 파급력이 큰 사업자는 강화된 기준과 심사방식을 적용받는 '강화인증' 대상에 포함된다.

 

아울러 인증 범위도 확대해 외부 인터넷과 연결된 디지털 자산 등 공격 경로가 될 수 있는 요소를 필수적으로 포함하도록 한다.

 

◆ 서면→현장 중심 심사 전환…모의침투 등 기술검증 도입

 

인증심사 방식도 대폭 강화된다.

 

기존 서면 위주 심사에서 벗어나 현장 중심의 실증 심사를 도입하고, 취약점 진단과 모의침투 등 기술 기반 검증을 적용한다.

 

본심사 이전 예비심사를 통해 핵심 보안항목을 사전 점검하고, 점검 결과에 따라 본심사 진행 여부를 결정해 부실 인증을 차단한다.

 

또한 인증군별로 심사 인력과 기간을 확대해, 중요도가 높은 시스템은 전문 인력을 투입해 정밀 점검하도록 한다.


서울 시내 한 KT 대리점에서 시민들이 유심 교체 상담을 받고 있다. 사진은 기사와 직접 관련 없음. 2025.11.5(ⓒ뉴스1)

 

사후관리 강화…중대 사고 시 인증취소까지

 

인증 이후 관리체계도 강화된다.

 

심사 시 특정 시점만 확인하는 '스냅샷' 방식의 일회성 점검이 아닌 상시 점검 체계를 구축해 인증 취득 이후에도 보안 수준이 지속 유지되는지를 관리한다.

 

중대 침해사고 발생 시에는 인증 심사를 잠정 중단하고, 사고 원인과 재발방지 대책을 확인한 뒤 심사를 재개한다.

 

또한 중대 결함 기준을 마련해 일정 기간 내 보완하지 않을 경우 인증을 취소하는 등 사후 조치를 엄격히 적용할 방침이다.

 

심사기관 책임 강화…전문성·처우도 개선

 

심사 품질 확보를 위해 심사기관과 심사원의 책임과 역량도 강화한다. 

 

심사기관에 대한 신뢰도 평가를 도입해 결과를 인증심사 배분에 반영하고, 지정 기준 준수 여부를 정기 점검한다.

 

심사원에 대해서는 취약점 점검 등 기술 역량 교육을 강화하고, AI·클라우드 등 전문 분야별 심사체계를 구축한다. 아울러 심사원 인건비를 현실화해 처우도 개선할 계획이다.

 

정부는 관련 시행령과 고시 개정, 예산 확보 등을 통해 후속조치를 추진한다.

 

상시 점검 강화와 인증취소 기준 등 사후관리 제도는 올해 하반기부터 시행하고, 인증 의무화 확대와 차등 인증체계는 2027년부터 시행할 수 있도록 상반기에 관련 작업을 추진한다.

 

송경희 개인정보보호위원회 위원장은 "인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.

 

류제명 과학기술정보통신부 제2차관은 "인증제도의 실효성을 높여 국민이 신뢰할 수 있는 정보보호 체계로 발전시키겠다"고 말했다.

 

문의: 개인정보보호위원회 자율보호정책과(02-2100-3086), 과학기술정보통신부 사이버침해대응과(044-202-6468), 한국인터넷진흥원 보안인증단(061-820-3810)

오창환 기자의 전체기사 보기

Copyright @2009 한국방송뉴스 Corp. All rights reserved.

많이 본 기사

더보기

종합뉴스

더보기