[이데일리 권하영 기자] 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA), 금융보안원 등 인증기관 및 민간 전문가들로 구성된 인증위원회와 함께 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의’를 개최하고 인증취소 기준 구체화 방안을 확정했다고 밝혔다.

이번 대책회의는 지난 6일 열린 관계기관 대책회의의 후속 조치로, 최근 빈발하는 사이버 침해 및 개인정보 유출 사고에 대응해 사후관리의 엄격성을 높이기 위해 마련됐다. 양 부처는 11월부터 운영한 합동 제도 개선 태스크포스(TF)를 통해 사고의 주요 원인을 분석하고, 실제 사고와 밀접하게 연관된 핵심 인증기준을 도출했다.

정부는 앞으로 인증기업이 연 1회 받는 사후심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치관리 등 ‘핵심항목’을 집중적으로 점검할 방침이다.

점검 결과 해당 항목에서 중대 결함이 발견될 경우, 인증위원회의 심의를 거쳐 인증이 취소된다. 사후관리를 거부하거나 자료를 미제출·허위 제출하는 경우에도 즉시 인증을 취소하기로 했다.

개인정보보호법 위반으로 과징금 등의 처분을 받은 경우에도 위반 행위의 중대성을 따져 인증 취소 여부를 결정한다. 특히 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의·중과실 위반행위 등으로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소할 계획이다.

정보통신망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 하는 법 개정도 현재 진행 중이며, 개정이 완료되면 관련 세부 기준을 수립할 예정이다.

인증 취소 이후의 관리 방안도 마련됐다. ISMS 인증 의무대상 기업이 인증 취소를 당할 경우, 취소 이후 1년간 재신청 유예기간을 두기로 했다. 이는 기업이 실질적인 보안 개선을 이행하도록 유도하기 위한 조치로, 해당 기간에는 인증 의무 미이행에 따른 과태료를 면제해 기업의 부담을 줄여줄 방침이다. 의무대상이 아닌 기업에 대해서도 지속적인 관리체계 구축을 위해 인증 재취득을 권고하기로 했다.

개인정보위 관계자는 “인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증제도의 신뢰성을 회복해 나가겠다”고 말했다.

과기정통부 관계자 역시 “인증 사후심사 시 기준에 미달하는 등 정보보호관리체계 수준을 지속 유지하지 않는 경우 인증취소를 적극 실시하여 정부 인증제도의 실효성을 높이겠다”고 밝혔다.