KB국민ㆍ롯데ㆍNH농협카드 개인정보 유출 사전에 막으려면…​ISMS 인증제도, ‘대상 늘어나고 인증 빨라진다’

미래부는 22일 정보보호 인증제도 설명회를 개최하고 ISMS 제도 등의 변화된 부분, 2014년 운영계획 등을 설명했다

아주경제 장윤정 기자 = KB국민, 롯데, NH농협카드에서 발생한 사상 초유 개인정보 유출 사고와 함께 재발을 방지할 방안 모색을 위한 행보가 빨라지고 있다.

특히 기업 정보보호수준 제고를 위한 제도를 정비해야한다는 목소리가 높아지고 있는 가운데 ISMS인증제도에 눈길이 쏠리고 있다.

22일 미래창조과학부는 양재동 엘타워에서 ‘정보보호 인증제도 설명회’를 개최하고 ISMS 인증제도 안내 및 2014년 추진 계획, 2014년 기업정보보호 제도 운영 방안 등에 대해 설명했다.

ISMS(Information Security Management System)란 정보통신망의 안전성 확보를 위해 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도를 말한다.

정태인 한국인터넷진흥원 수석연구원은 “아무리 정보보호를 잘 갖춘 기업이라 하더라도 내부인에 의해 정보가 유출될 수 있고 아웃소싱 업체에 의한 취약성도 존재한다”며 “정보보호의 체계를 구축하고 취약성을 제거하기 위한 가장 기본이 되는 주춧돌이 바로 ISMS"라고 설명했다.

특히 2013년도부터 정보통신망법 개정에 따라 정보보호 관리체계 인증이 의무화되고 금융 등 기존에 포함되지 않았던 분야도 ISMS 인증을 반드시 받도록 법이 개정됐다.

ISMS 인증을 받는 기업도 크게 늘었다. 2010년 83건, 2011년 119건, 2012년 152건에서 2013년 272건으로 지속 증가하는 추세다. 올해는 금융권의 포함으로 ISMS 인증을 취득하는 기업이 대폭 증가할 전망이다.

ISMS 인증의 유효기간은 3년이며 인증 획득 후 매년 1회 사후 심사를 받아야한다. 이미 ISMS를 수립, 운영 중인 기관은 인증 신청 후 약 3개월이 소요되지만 ISMS가 전혀 수립되어 있지 않을 경우는 6개월 이상이 걸린다.

ISMS을 받기 유리한 달은 1~5월까지다. 정태인 연구원은 “ISMS 심사인증은 6월부터 9월 사이 신청이 밀려 인증을 받기 어려우므로 연초에 서두르는 것이 좋다”며 “기업도 하반기에 바빠져 심사스케쥴을 조정하기도 어려워 연초가 여러모로 유리하다”고 밝혔다.

기존에는 ISMS 인증을 신청해도 신청 기업이 밀려 원하는 시일내에 인증을 받기 어려웠지만 이를 개선, 올해 기존 인증기관인 한국인터넷진흥원 외에 타 인증기관을 선정해 인증 기간을 단축시킬 예정이다.

오승곤 미래부 정보보호과장은 "연이어 터지고 있는 금융권 대상의 사이버 공격으로 견고한 보안태세 확립 필수"라며 "ISMS인증 역시 이에 대비하기 위한 인증체계로서 현재 금융위와 협의해 지속적으로 확대 적용할 방침"이라고 설명했다.

한편 2014년에는 ISMS 인증을 취득한 기업의 정보보호 수준을 측정, 최우수, 우수 등의 등급을 부여하는 ‘정보보호 관리등급 제도’도 시행된다. 정보보호 최고책임자(CISO) 지정 의무화도 추진될 예정이며 중소기업 정보보호 안전망 확충을 통해 중소기업 정보보호 강화를 위한 전국적·통합적 지원 체계가 마련될 전망이다.