법제도/정책
강화된 ISMS 인증제도, 개정된 내용 살펴보니
디지털데일리
발행일 2013-01-31 08:57:56
- 내달 18일부터 정보통신망법 개정안 시행으로 ISMS 인증 의무화
[디지털데일리 이민형기자] 내달 18일부터 개정 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 시행에 따라 기존 ‘정보보호 안전진단제도’가 폐지되고, 더 높은 수준의 정보보호관리체계(ISMS) 인증제도로 일원화 된다.
KISA는 ISMS 인증제도를 의무화하면서 ISMS 인증제도의 통제항목을 개선했다. 정보보호 환경의 변화가 급격하게 이뤄졌기 때문이다.
대표적으로 기존 137개(정보보호 안전진단제도)에서 104개로 통제항목을 줄였다. 하지만 경영진 책임 강화, 정보보호조직 구성 강화, 외부자 보안 강화, 모바일 기기 보안 강화 등 환경 변화에 따른 보안트렌드를 적극 반영해 ISMS 인증제도의 현실성을 높였다.
한국인터넷진흥원(KISA) 장상수 보안관리팀장은 30일 서울 역삼동 GS타워에서 열린 ‘기업 정보보호 제·개정 고시 설명회’에서 내달부터 시행되는 ISMS 인증제도에 대해 설명했다.
장 팀장은 ISMS 인증제도 개정의 추진배경으로 “ICT와 정보보호 환경이 급격하게 변화하고 있음에도 2002년 ISMS 인증제도 도입 이후 기준 개정이 이뤄지지 않아 기준의 현실성이 떨어진다고 판단했다”고 말했다.
이어 “모바일, 클라우드 등 새로운 기술의 등장과 APT(지능형지속가능위협) 공격 등 공격방법이 다양해짐에 따라 기존의 제도로는 현실을 따라가기가 힘들었던 것이 사실”이라며 “특히 2013년 안전진단 대상자에 대한 ISMS 인증 의무화로 인해 기준을 명확화하고 현실화하는 개선도 필요했다”고 덧붙였다.
ISMS 인증제도에서 신설된 통제항목으로는 ▲경영진 책임(예산·인력지원, 의사결정 참여) 강화 ▲최고정보보호책임자(CISO) 지정 등 조직 구성 강화 ▲최신기술과 보안사고 반영(외주개발 보안, 스마트워크 보안, 망분리 등)의 항목 등이다.
장 팀장은 “정보보호 활동에 대한 경영진 역할이 불분명하다는 문제점을 해결하기 위해 경영진이 정보보호활동 전반의 의사결정에 참여하도록 명시적 기준(관리과정 2.2)을 마련했다”며 “아울러 정보보호관리자(CISO)가 있으나 그 위상이 불명확하다는 점을 개선해 무조건 임원급 이상을 CISO로 지정하고 운영하도록 기준(보호대책 2.1)을 마련했다”고 강조했다.
농협사태 등에서 불거진 ‘외부자의 정보보호 대책’도 ISMS 인증제도에 포함됐다. 기존에는 업무 외부 위탁 과정의 보안요구사항을 계약서에 명시하도록 했으나, 실질적으로 정보보호에 대한 대책은 미흡했다.
장 팀장은 “외부자 계약 만료, 업무종료, 담당자 변경 시 적용해야 할 통제 기준(보호대책 3.2)을 마련했다. 아울러 정보보호를 위한 사항들을 계약서에 명시하고 이행여부를 관리·감독(보호대책 8.3)하도록 했다”고 전했다.
이 외에도 모바일 기기의 보안을 강화하기 위한 미승인 기기 반출입 통제 절차 도입, 승인 기기의 경우 접급통제 정책 등과 주요 직무자(인사, 기밀, 개인정보 취급자)는 망분리 된 기기를 사용하도록 하고, 인터넷을 사용할 경우 접속내역을 모니터링 하는 등의 내용도 추가됐다.
ISMS 인증 의무화의 법적근거는 정보통신망법 제47조에 있으며, 방송통신위원회, KISA, 인증위원회, 인증심사원으로부터 인증을 받을 수 있다.
ISMS 인증은 방통위가 내리고, 인증 업무 전반은 현행대로 KISA, 인증위원회 등 인증기관에서 수행한다. 인증서 발급은 KISA에서 이뤄진다.
ISMS 인증을 받게되면 3년간 유효하며, 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야한다. 정보보호 관리등급을 받은 경우, 그 유효기간(1년) 동안 ISMS 인증을 받은 것으로 간주하는 조항도 신설됐다.
ISMS 인증 의무대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통령령으로 정하는 바에 따라 정보통신망서비스 제공자(인터넷서비스사업자)와 집적정보통신시설 사업자(IDC, VIDC), 정보통신서비스 사업자는 모두 해당된다.
ISMS 인증 의무제도는 내달 18일부터 본격 시행되며, 인증 의무사업자들은 2013년 12월 31일까지 반드시 인증을 취득해야한다.
한편 민간 인증기관 지정요건도 기존 인증심사원 보유 인원 10명에서 5명으로 축소됐으며, 방통위가 민간 인증기관 지정이 필요한 경우 공모의 의한 방식으로 지정될 예정이다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지