[더팩트｜우지수 기자] 앞으로 정보보호 관리체계(ISMS) 인증을 받은 기업이라도 해킹이나 개인정보 유출 사고가 발생하고 중대한 결함이 확인되면 인증이 즉각 취소된다.

29일 과학기술정보통신부와 개인정보보호위원회는 한국인터넷진흥원, 금융보안원 등과 함께 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 구체화 방안을 확정했다.

이번 조치는 최근 인증 기업에서 사이버 침해와 유출 사고가 빈발함에 따라 사후관리 엄격성을 높이기 위해 마련됐다. 양 기관은 외부 인터넷 접점 자산 식별과 접근권한 관리, 패치관리 등 실제 사고와 밀접한 핵심 항목을 도출해 취소 기준에 반영하기로 했다.

먼저 연 1회 실시하는 사후심사에서 해당 핵심 항목을 집중 점검한다. 사후관리를 거부하거나 자료를 허위로 제출하면 인증을 취소한다. 점검 결과 중대 결함이 발견돼도 인증위원회 심의를 거쳐 인증이 취소된다.

개인정보보호법 위반으로 과징금 처분을 받아도 위반 행위 중대성을 따져 인증을 박탈한다. 특히 1000만명 이상 피해가 발생하거나 반복적 법 위반, 고의·중과실 위반 행위 등 사회적 영향이 큰 경우 원칙적으로 인증을 취소한다는 방침이다. 정보통신망법 개정이 완료되면 관련 세부 기준도 추가 수립할 예정이다.

인증 취소 이후 관리 방안도 마련했다. 의무 대상 기업은 취소 후 1년간 재신청을 유예해 실질적인 보안 개선을 유도한다. 해당 기간에는 인증 의무 미이행 과태료를 면제해 기업 부담을 줄여주기로 했다. 의무 대상이 아닌 기업에도 인증 재취득을 권고해 관리체계를 구축하도록 할 계획이다.

과기정통부 관계자는 "인증받은 기업이 정보보호관리체계 수준을 유지하지 않는 경우 인증 취소를 적극 실시해 제도 실효성을 높이겠다"고 말했다.

개인정보위 관계자는 "관계기관의 제도 개선 의지를 결집하는 자리"라며 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 제도 신뢰성을 회복해 나가겠다"고 강조했다.

index@tf.co.kr