정부, 개인정보 사고 예방 강화...ISMS·ISMS-P 인증제 전면 개편 7월 의무화
'형식적 심사' 비판, 현장 검증 도입
1000만명 이상 유출시 인증 취소
홍세기 기자
seki417@daum.net | 2026-01-21 16:07:52
[HBN뉴스 = 홍세기 기자] 정부가 국가 인증을 취득한 기업들에도 잇따르는 개인정보 유출 사고 예방 강화를 위해 정보보호 관리체계 인증(ISMS) 및 개인정보보호 관리체계 인증(ISMS-P) 제도를 전면 개편한다.
21일 보안업계에 따르면, 개인정보보호위원회와 과학기술정보통신부는 관계부처 대책회의를 열고, 인증 실효성을 높이기 위한 제도 개편 방안을 추진한다. 이는 지난해 10월 국가 전반의 정보보호 역량 강화를 위해 발표된 '범부처 정보보호 종합대책'의 후속 조치다.
◆ ISMS-P 의무화
개편안의 가장 핵심은 기존에 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화한다는 점이다. 주요 공공시스템, 통신사, 대규모 온라인 플랫폼 등이 대상이 된다.
의무화 시행 일정은 2027년 7월부터다. 인증을 받지 못한 기업에는 3,000만원의 과태료가 부과될 예정이다.
이를 위해 개인정보보호법과 정보통신망법 개정이 조속히 추진된다. 정부는 2026년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 계획이다.
◆ '실전형 검증' 심사 구조 전환
정부는 기존 서면 위주의 형식적 심사를 탈피하고, 현장 중심의 실질적 검증으로 전환한다.
구체적으로 예비심사 단계에서 핵심 항목을 먼저 검증하고, 미충족 시 본심사 진입 자체를 차단한다. 기술심사와 모의 침투(모의해킹) 테스트를 강화하며, 핵심 시스템 중심의 현장 실증 심사를 대폭 확대한다.
특히 고위험 기업이나 사고 이력이 있는 기업은 모의해킹 검증이 의무화된다. 예비심사를 통과하지 못하면 본심사 자체가 불가능하며, 기존 인증 기업도 효력이 정지될 수 있다.
심사 전문성도 강화된다. 분야별 인증위원회 운영, 심사원 대상 AI 등 신기술 교육이 진행된다.
◆ 인증 취소 기준 명확화…대규모 사고 기업에 엄격한 제재
정부는 12월 29일 별도의 대책회의를 열어 인증 취소 기준을 구체적으로 확정했다.
개인정보 피해 규모가 1000만명 이상이거나, 반복적인 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다.
이 밖에 점검에서 지적된 사후관리 사항을 이행하지 않거나 허위 자료를 제출한 경우, 중대한 결함이 발견된 경우도 인증 취소 대상이 된다.
인증 취소 이후에는 1년간 재신청 유예기간을 두어 실질적인 보안 개선이 이뤄지도록 유도한다. 해당 기간에는 인증 의무 미이행에 따른 과태료를 면제한다.
◆ 사후관리 대폭 강화...유출 사고 시 즉시 특별심사
유출 사고 발생 시 즉시 특별 사후심사를 실시하고, 사고기업에 대해서는 심사 인력과 기간을 기존 대비 2배로 늘려 원인 분석과 재발 방지 대책을 집중 점검한다.
현재 인증 유효기간 3년은 유지되지만, 매년 상시 점검을 통해 기준 미달 시 신속하게 보완을 요구하는 등 운영 단계의 책임성을 강화한다.
◆ 잇따른 대규모 해킹 사고가 배경
정부가 인증 제도 개편에 나선 배경에는 2025년 국내 주요 기업들의 대규모 해킹 사고가 있다.
지난 4월 SK텔레콤은 2021년부터 방치된 Ivanti VPN 취약점으로부터 유심정보 약 2300만~2696만명이 유출됐다. 특히 4년 이상 방치된 오래된 리눅스 취약점이 침해의 직접 원인이었다.
8월 롯데카드는 2017년 Oracle WebLogic 취약점이 8년간 미패치로 방치되면서 해킹당했다. 초기 신고 규모 1.7GB에서 실제 유출 규모는 약 200GB로 확인돼 약 100배의 데이터가 무단 반출됐다.
문제는 이들 기업이 모두 ISMS-P 인증을 받았다는 점이다. 현행 심사가 연 5일간의 '스냅샷' 점검 수준에 불과해 장기간 진행되는 저속·잠복형 침투를 탐지하지 못한다는 지적이 제기됐다.
그러나 현장에서는 우려의 목소리도 나온다. 기술심사 강화에 따른 심사 인력과 예산 부족 문제, 모든 인증을 더 깊게 보겠다는 계획이 물리적 한계로 인해 '또 다른 형식적 심사'로 회귀할 가능성 등이 제기되고 있다.
정부는 이 같은 현장의 의견을 반영해 고시 개정 시 구체적인 기준을 다듬어가겠다는 입장이다.
[ⓒ HBN뉴스. 무단전재-재배포 금지]