[이코리아] 최근 유명 정보통신서비스에서 개인정보 유출 사건이 잇따르고 있다. 이에 국회에서는 개인정보 관리체계 인증을 의무화하는 법안을 추진 중이다.

◇의무화 추진하는 ISMS-P는 어떤 제도?

국회 과학기술정보방송통신위원회 양정숙 의원은 개인정보보호법 일부 개정안을 지난 24일 발의했다. ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’ 의무화를 골자로 한다.

ISMS-P는 기업의 정보보호·개인정보보호 활동이 기준에 부합하는지 인증기관이 증명하는 제도다. 과거에는 정보보호와 개인정보보호 인증이 각각 ISMS, PIMS로 나뉘었지만, 2018년 11월부터 통합인증제도인 ISMS-P가 생겼다.

인증기관은 기업의 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 22개 등 총 102개 기준을 심사해 ISMS-P를 발급한다. 선진적인 보호제도를 갖춘 유럽의 기준과 흡사해, 대외 신인도 향상과 개인정보 관련 사건 예방 효과를 기대할 수 있다.

ISMS의 경우 정보통신망법에서 전기통신사업자의 의무로 규정하고 있다. 연간 매출 1500억 원 이상이거나 정보통신서비스 매출 100억 원 이상, 또는 3개월간 일평균 이용자 수 100만 명 이상이면 ISMS 인증서를 받아야 한다.

◇의무화, 능사 아니지만 경각심 제고 효과

양 의원은 ISMS-P도 ISMS에 준하는 강제성을 부여해야 한다는 의견이다. 개정안에서는 정보통신망법상 ISMS 의무 기준과 동일한 규모의 기업들이 ISMS-P 인증을 받도록 한다.

이와 관련해 양 의원은 “최근 해킹과 같은 사이버공격 급증으로 개인정보 유출에 대한 우려가 커지고 있다”며 “대량의 개인정보를 장기간 보유하는 곳에 이러한 인증을 의무화해야 한다”고 밝혔다.

그러면서 “개인정보 기반 데이터 산업이 확대됨에 따라 침해 사례는 사회적으로 매우 중요한 문제”라며 "개인정보 취급자에 대한 별도의 조치가 없을 경우 개인정보 침해 상담·신고 사례가 줄지 않을 것”이라고 덧붙였다.

다만 인증에 필요한 비용에 부담을 느끼는 기업도 있다. ISMS-P 인증 추진 경험이 있는 전문가를 고용해야 하고, 더불어 컨설팅을 받는 사례도 있기 때문이다.

또한 ISMS-P가 모든 사이버공격에 대한 방어 역량을 의미하는 것은 아니다. 실제로 LG헬로비전·천재교육 등은 ISMS-P 인증을 받은 뒤에도 개인정보 유출 사건이 발생했다.

단, 기업이 개인정보 보호 노력을 강화하도록 경각심을 제고하는 효과는 있다. 최근 개인정보 유출 사건이 발생했던 발란은 SK쉴더스로부터 컨설팅을 받고, 전문가 고용 및 ISMS-P 취득에 나섰다.

한편 개인정보보호위원회와 한국인터넷진흥원이 발간한 ‘2021 개인정보보호 실태조사’ 보고서에 따르면, 가장 잦은 개인정보 침해 유형은 개인정보 유출이었던 것으로 나타났다.