카드.택배사 등 100만명 이상 개인정보 보유기업 포함될 듯

정부가 정보보호관리체계(ISMS) 인증 대상 기업을 대폭 확대하고 심사 항목을 늘리는 방안을 추진한다.

미래창조과학부 고위 관계자는 ISMS 의무인증 대상 기관을 100만명 이상의 개인정보를 보유한 기업으로 확대하는 방안을 검토하고 있다고 25일 밝혔다.

ISMS는 정보통신망으로 서비스를 제공하는 사업자 중 일정 기준 이상의 기술·관리·물리적 보호체계를 갖춘 사업자를 인증하는 제도.

미래부는 애초 ISMS 대상 기관을 현재 272개에서 300개 정도로 늘릴 예정이었지만 최근 카드사, KT, CJ대한통운 등 업체의 개인정보 유출 사고가 잇따라 터지자 대상 기관을 대폭 확대키로 했다.

기준이 변경되면 대상 기업 수가 500개 이상으로 늘어날 것으로 전망된다.

최근 홈페이지 해킹으로 개인정보가 유출된 KT의 ISMS 인증은 취소되지 않을 것으로 보인다. 사고 난 부분이 ISMS 인증 당시 점검 대상에 포함되지 않았기 때문이다.

미래부는 대신 KT 사태와 같은 유사 사태가 재발하는 것을 막기위해 ISMS 인증 심사 때 점검 항목을 대폭 늘릴 방침이다.

미래부는 ISMS 인증 기업의 사고 발생시 제재를 강화하는 방안도 검토하고 있다. 인증 대상 기관이 인증 심사를 받지 않으면 1천만원의 벌금만 내면 된다.

이 관계자는 인증을 받아놓고 위배하면 다른 제재를 해야 할지 고민해보겠다고 강조했다.

100만명 미만의 개인정보를 보유한 기업의 경우 민간기관에서 보안 등급을 인증받는 민간 자율 보안등급제를 도입할 예정이다.

자율등급제 운영 주체로는 전국경제인연합회 등 경제단체가 거론되고 있으며 높은 등급을 받은 기업에 인센티브를 제공하는 방안도 검토되고 있다.

연합뉴스