2020-02-29 06:20 (토)
정보보호관리체계 인증제도, 실효성 제고해야
상태바
정보보호관리체계 인증제도, 실효성 제고해야
  • 장성협 기자
  • 승인 2017.10.17 16:48
이 기사를 공유합니다

ISMS 인증의무 위반 기업 계속증가, 대책 마련 시급

국회 과학기술정보방송통신위원회 소속 이은권 의원(자유한국당)은 17일 국회에서 열린 과학기술정보통신부 산하 ICT 관련기관 국정감사에서 기업들이 정보보호관리체계 인증의무 제도를 위반하는 문제와 ISMS인증 심사인력 문제를 지적했다.

ISMS 인증의무 주요 정보자산 유출과 피해를 사전에 예방하기 위해 기업이 수립·관리·운영하는 정보보호 관리체계가 적합한지 인증하는 제도다.

이은권 의원에 따르면 매년 DNS서버공격, 해킹, 디도스 공격 등 보안관련 사고들이 다양하고 심화해 가고 횟수나 그 피해가 늘고 있다.

이로 인한 개인정보 유출 등 2차 피해에 대한 우려가 높아지고 있으나 정보자산 유출과 피해를 사전에 예방하기 위해 도입된 ISMS 인증의무 제도를 위반한 기업이 지난 2013년 총 14곳이었으나 2015년에는 36곳으로 약 2.6배 증가했으며 그로 인한 과태료도 같은 기간 1억2천5백만 원에서 3억1천9백만 원으로 약 2.6배 증가했다.

이에 이 의원은 “정보보호관리체계 인증 의무화 대상 기업 및 기관들의 보안윤리 의식 부재를 의심하지 않을 수 없는 대목”이라며, “ISMS인증체계 관리에 소홀했다는 방증”이라고 지적했다.

또한 인증심사는 인증대상 기업 규모에 따라 최소 3인에서 최대 20인의 심사원이 최대 2주 투입되야 하는데, 심사를 수행하는 심사원들은 특정 기관에 소속된 인력이 아닌 ISMS 심사 자격증을 소지한 심사원이 한국인터넷진흥원에 심사 신청을 한 후 본인이 속한 회사 등에 휴가 등을 사용해 심사를 하는 구조다.

이에 따라 2017년 9월 현재 1,327명의 ISMS 인증심사원 중 520명은 단 한차례 심사에도 참여하지 않은 것으로 나타났다.

이 의원은 “기업에서 인증을 받고자 해도 심사원 수급에 따라 인증을 받지 못하는 상황이 발생할 소지도 있다”며, “심사원 선발인원을 관리하고 심사를 전담하는 조직의 설립까지 모든 방안 강구해야 한다”고 대책마련을 촉구했다.

또 이 의원은 “ISMS와 PIMS간의 통합과 관련해 감사원에서 지적이 됐음에도 별다른 진전 없이 논란만 지속되고 있다”며, “두 인증체계의 목적이 일부분 차이점이 있는 만큼, 이런 부분을 어떻게 조율할 것인지 여부가 관련 사업자들의 규제비용 감축에 있어 중요한 관건으로 과기정통부와 방통위는 진지하게 고민해야 한다”고 지적했다.

★정보보안 & IT 대표 미디어 데일리시큐!★