미래부, 개인정보 다량보유 기업에 ISMS 인증의무 부여

정부가 기업의 정보보호 역량을 강화하기 위해 정보보호관리체계(ISMS) 의무 인증 대상을 카드사 등 개인정보를 대량으로 보유한 기업으로 확대한다.

미래창조과학부는 개인정보를 대량으로 보유·관리한 기업에도 ISMS 인증 의무를 부여하기 위해 연내 정보통신망법을 개정할 방침이라고 9일 밝혔다.

미래부 관계자는 “최근 카드사의 개인정보 유출 사태가 터지면서 기업이 보유한 개인정보의 규모도 ISMS 인증 대상을 선정하는 기준으로 고려하기로 했다”며 “개인정보 대량 보유 기업은 카드사가 대표적”이라고 말했다.

ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계에 관한 104개 기준을 통과하면 한국인터넷진흥원(KISA)이 인증하는 제도다.

통신사, IT서비스 업체, 웹사이트 등 정보통신서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자는 ISMS 인증을 의무적으로 받아야 한다.

그동안 포털, 쇼핑몰, 은행, 증권사 등은 ISMS 인증 대상자에 포함됐지만 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상자에서 제외됐다.

미래부는 정보통신기술(ICT) 분야가 아니더라도 교육·의료 등 분야의 주요 기업이 자발적으로 ISMS 인증을 받도록 유도하는 정책 방안도 연내 마련하기로 했다.

지속적으로 ISMS 인증 대상을 전 산업분야로 확대하면 현재 264건인 ISMS 발급 건수가 연말 380건, 2016년 470건으로 증가할 것으로 미래부는 예상하고 있다.