Home > 전체기사
급변하는 정보보호 환경에 따른 정부의 선택, ISMS-P
  |  입력 : 2018-11-13 17:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부, 11월 7일 시행 ‘ISMS-P’ 통합인증 설명회 개최... 많은 참관객으로 뜨거운 열기
인증항목부터 수수료까지 많은 변화...보안강화 및 취득기업 편의에 초점 맞춰


[보안뉴스 원병철 기자] 11월 7일 시행된 정보보호 및 개인정보보호 관리체계 인증제도 설명회가 13일 서울 GS타워에서 개최됐다. 인증제도 통합에 따른 고시 개정사항에 대한 안내와 인증기준 주요 변경사항 및 인증심사 신청방법을 설명하기 위해 마련된 이날 행사에는 많은 사람들이 몰려 높은 관심을 반영했다.

▲정보보호 및 개인정보보호 관리체계 인증제도 설명회[사진=보안뉴스]


과기정통부와 행정안전부, 방통위 등 3개 기관이 각각 운영하던 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합하게 된 이유는 무엇일까? 이에 대해 과기정통부 김기홍 사무관은 융합화 및 고도화되고 있는 침해위협에 효과적으로 대응하기 위해서 정보보호와 개인정보보호의 연계가 필요하게 됐다고 설명했다. 아울러 이번 통합은 실질적으로 양쪽 모두를 만족시킬 수 있는 연계성에 초점을 맞췄기 때문에 현장에서 일부 미흡하다고 여길 수 있겠지만, 향후 제도 개선작업을 통해 보완해 나가겠다고 밝혔다.

정보보호 관련 인증에 대한 통합 논의가 나온 것은 2014년 8월부터였다. 관계부처들은 인증제도 개선을 추진했고, 2016년 먼저 PIMS와 PIPL(개인정보보호인증제, 행정안전부)이 통합해 통합 PIMS가 됐고, 이후 다시 PIMS와 ISMS 통합이 논의됐다. 2017년 ISMS와 PIMS 통합을 위한 관계부처 협의를 거처 2018년 5월 공동고시 개정안이 마련됐다. 그리고 2018년 11월 7일 정보보호 및 개인정보보호 관리체계 인증에 관한 고시가 시행됐다.

행사를 진행한 한국인터넷진흥원(KISA)은 인증제도 통합에 따른 개정사항을 안내하고 이어 주요 변경사항과 신청방법을 설명했다. 먼저 설명에 나선 KISA 김선미 팀장은 2016년 기업을 대상으로 두 개의 인증에 대한 설문조사를 한 결과 59.9%가 통합이 필요하다고 답변했고, 2018년 10월을 기준으로 ISMS와 PIMS 모두를 유지하는 기업이 72%에 달하는 등 통합 요구가 높아졌다고 설명했다.

비록 두 인증의 목적이나 방향은 조금 달랐지만 결국 두 가지 모두 연계해 보호해야 하는 상황에서 통합이 진행됐다는 것이다. 대신 정부는 기업의 부담을 줄이기 위해 통합 후에도 2개의 인증을 선택해 신청할 수 있도록 만들었다.

▲많은 참관객들이 통합인증에 대한 관심을 보여준다[사진=보안뉴스]


별도의 PIMS 인증없어... 개인정보보호 인증은 ISMS-P만 선택
이번 두 인증의 통합에서 사람들이 가장 궁금해 하는 사항은 바로 기존 인증과 통합인증의 달라진 점이다. 우선 인증항목이 통합 및 추가됐다. 실질적으로 인증항목의 수는 줄어들었지만, 이는 비슷한 항목이 합쳐졌을 뿐 실제로 삭제된 항목은 단 한 개도 없다. 오히려 각 인증별로 추가된 항목이 있다.

우선 104개 인증항목의 ISMS는 80개로 통합됐다. 신규로 3개 항목(관리체계 수립 및 운영 1개, 보호대책 요구사항 2개)이 추가됐으며, 18개의 항목은 유사 인증기준으로 분류되어 통합됐다. 86개 항목의 PIMS는 102개로 통합됐다. 다만 PIMS는 ISMS 80개 항목에 22개 항목이 추가된 방향으로 진행됐기 때문에 실질적으로는 22개 항목으로 통합됐다고 할 수 있다.

최신 기술과 이슈도 반영됐다. 클라우드 서비스나 핀테크, 외부자 관리와 침해사고 탐지 강화 등을 반영한 신규기준이 개발된 것은 물론 기존 항목도 개선됐다. 여기에 개인정보보호법과 정보통신망법의 개정안에 따라 추가됐거나 강화된 보호조치도 반영됐다.

여기서 주목할 점은 기존 ISMS 인증 기업은 새로운 ISMS 인증이나 통합된 ISMS-P 인증을 딸 수 있지만, 기존 PIMS 인증 기업은 별도의 인증 없이 통합 ISMS-P 인증을 따야 한다는 사실이다. 기존 PIMS 인증 기업은 억울할 수도 있지만, 정부는 단호한 입장이다. 개인정보보호를 위해 정보보호 항목이 필요해졌기에 항목이 추가된 것 일뿐, 이번 통합과는 아무런 상관이 없다는 얘기다. 즉, 이번 인증통합이 아니었다고 해도 어차피 PIMS로서의 인증도 강화됐을 것이라고 김선미 팀장은 설명했다.

통합인증 취득시 최대 59%까지 수수료 인하 효과
인증비용면에서도 변화가 있다. 우선 ISMS만 놓고 봤을 때, 기존 ISMS 인증 수수료와 큰 차이가 없다고 김선미 팀장은 말했다. “ISMS는 현행 수준을 유지하지만, PIMS의 경우 35% 수수료가 인하됐습니다. 또한, 2개 인증을 함께 유지한 경우 59% 수수료를 인하한 효과가 있습니다. 다만 ISMS-P는 개인정보위탁사와 서비스 수에 따라 추가 금액이 적용되기 때문에 신청 기업별로 금액 차이가 있을 수 있습니다.”

예를 들면, 개편 전 ISMS 인증에 최소 1,000만원에서 최대 1,800만원이 들어서 평균 1,200만원이 나왔고, 개편 후에도 비슷한 수준이라는 설명이다. 그리고 PIMS 인증은 최소 1,000만원에서 최대 6,500만원이 들어 평균 2,900만원이 들었는데, ISMS-P 인증은 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원이 들어갈 것으로 전망했다. 이는 평균 35%가 인하된 가격이다. 또한, ISMS와 PIMS를 동시에 인증하면, 최소 2,000만원에서 최대 8,400만원으로 평균 4,300만원이었다면, ISMS와 ISMS-P를 함께 인증하면 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원, 59%의 인하효과가 있다고 김선미 팀장은 설명했다.

보완조치와 사후관리도 변화가 있다. 특히, 심사에서 나온 보완조치 기간이 기존 30일에서 40일로 늘었다. 이는 실제 심사기업들이 보완조치 기간이 짧아 확대해 달라는 요청을 받아들인 결과다. 다만 사후심사 1년 주기와 갱신심사 만료 3개월 전은 연장이 되지 않았다.

기존 인증심사원은 별도의 교육 혹은 시험 치러야 자격요건 유지
인증심사원도 변화가 있다. 먼저 자격요건은 기존과 같다. ①4년제 대학졸업 및 동등학력을 취득해야 하며 ②정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상을 보유해야 한다. ③그리고 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유해야 한다. 아울러 두 가지 이상 중복 업무경력은 중복해 합산하지 않으며, 신청일 기준 최근 10년 이내의 경력만 인정한다. 또한 신청일을 기준으로 취득 완료한 자격만 인정한다.

기존 인증심사원의 자격전환은 고시시행 6개월, 혹은 심사원 자격 유효기간 중 더 긴 시간을 선택해 KISA의 심사원 자격전환 과정을 신청하고 수료해야 한다. ISMS나 PIMS 자격을 모두 보유한 심사원은 1일의 신규 제도에 관한 교육만 받으면 되지만, 둘 중 하나만 보유한 심사원은 2일의 교육과 평가시험을 치러야 한다.

기존 심사원 등급도 재조정된다. 우선 기존 등급을 초기화하고 ISMS와 PIMS 심사경력을 합산한 신규등급으로 조정된다. 또한, 심사팀장만 가능했던 기존 선임심사원 등급을 초기화하고 ISMS-P 심사참여 일수로 요건을 완화한다. 책임심사원은 선임심사원이 1년간 ISMS-P 2회를 포함해 인증심사를 4회 이상해야 하며, 다음해 1년간 책임심사원으로 활동을 해야 인정이 된다.

심사원 자문료는 각 등급에 따라 차등화 됐다. 심사원보는 1일 자문료 20만원, 심사원은 30만원, 선임심사원은 35만원, 책임심사원은 45만원이 각각 책정됐다.

마지막으로 심사원 자격은 취소될 수도 있다. 고시 제16조에 따르면 거짓이나 부정한 방법으로 인증심사원 자격을 부여받거나 객관적이고 공정한 심사를 수행하지 않은 경우, 심사 시 취득한 정보와 서류를 누출 혹은 유출한 경우 자격이 취소된다. 실제로 인증심사원 자격이 정지되거나 취소된 일도 있었다고 덧붙였다.

한편, KISA는 이날 발표 자료와 함께 신규 인증기준과 개정 전 인증기준 비교표 등 자료를 KISA의 ISMS 홈페이지에 업로드 하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제