'1000만명 이상' 개인정보 유출 시 'ISMS' 인증 취소

[아이뉴스24 박정민 기자] 정부가 1000만명 이상의 개인정보 유출 사고가 발생했거나 과징금 처분을 받은 기업의 '정보보호·개인정보보호 관리체계(ISMS·ISMS-P)' 인증을 취소하는 방안을 도입한다.

과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원(KISA), 금융보안원 등 관계기관과 대책회의를 열고 이같은 내용을 담은 ISMS·ISMS-P 인증취소 기준을 마련했다고 밝혔다.

구체적으로 인증기업에서 1000만명 이상의 개인정보 유출 피해가 발생하거나 반복적 법 위반, 고의·중과실 위반행위가 발견되는 경우 원칙적으로 인증을 취소한다. 아울러 개인정보보호법 위반으로 과징금 등의 처분을 받거나 정보통신망법을 위반한 경우 중대성을 따져 인증을 취소할 계획이다.

사후관리가 부실한 경우에도 인증이 취소될 수 있다. 인증기업은 연 1회 실시되는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 개인정보 유출 사고와 연관된 항목을 점검받게 된다. 사후관리를 이행하지 않거나 거부하는 경우, 자료를 제출하지 않거나 허위로 제출하는 경우 인증이 취소된다. 심사에서 중대한 결함이 발견되면 인증위원회 심의를 거쳐 인증이 취소될 수 있다.

정부는 인증취소 기업에 대한 대책도 마련한다. 정보통신망서비스제공자(ISP) 등 ISMS 인증이 의무인 기업에게는 취소 이후 1년간 재신청 유예기간을 두고 실질적인 보안 개선을 유도한다. 해당 기간에는 인증 의무 미이행에 대한 과태료도 면제된다. 인증 의무가 없는 기업은 지속적인 관리를 위해 인증 재취득을 권고한다.

앞서 쿠팡 등 ISMS-P 인증기업의 개인정보 유출 사고가 반복되면서 과기정통부와 개인정보위는 관계기관 합동 TF를 구성해 구체적인 인증취소 기준을 논의한 바 있다. 정부는 향후 인증취소 기준을 엄격히 적용할 계획이다.