정보보호 관련 인증 및 평가 제도

현재 국내에서 운영되고 있는 보안관련 인증•평가 제도 중 의무적으로 받아야 하는 대표적인 제도가 ISMS(Information Security Management System)인증제도입니다. 하지만, 이 외에도 국내에서 운영 중인 보안 관련 인증•평가 제도가 여러 개가 있고, 각 제도 별로 유사한 부분이 많아 혼란스러운 점이 있습니다. 이번 시간에는 현재 운영 중인 대표적인 보안 관련 인증•평가 제도를 알아보도록 하겠습니다.

보안관련 인증제도 현황

5~6년 전까지만 해도 보안과 관련된 인증제도를 준비한다면 ‘ISO 27001을 준비할까? 아니면 ISMS를 준비할까?’ 정도의 고민을 했는데요. 두 제도 모두 정보보호 관점에서 관리체계에 대한 수준을 평가하고 인증해 주는 제도입니다.

ISO 27001이 국제 표준화 기구인 ISO에서 시행하고 인증하는 국제 표준의 인증제도라고 하면, ISMS는 KISA(한국인터넷 진흥원)에서 시행하고 인증하고 있는 국내 인증제도라는 차이가 있습니다. ISMS 인증제도는 2002년부터 시행되어 비교적 오랜 역사를 가지고 있는데요. 2013년도에 의무 시행되도록 법이 개정되면서 본격적으로 활성화되었습니다 (총 인증업체 412개 중 2013년도 이후에 인증 받은 업체 수 345개).

국내의 인증•평가 제도에 대한 또 다른 축은 개인정보 영역입니다. 이 영역은 2012년도에 개인정보보호법이 시행되면서 주목받기 시작했습니다. 특히 매년 개인정보 유출사고가 반복되면서 기업들의 입장에서도 개인정보를 ‘안전하게 보호하고 있는 기업’이라는 이미지 확보와 개인정보 유출사고 발생 시 실제 도움을 받기 위해 개인정보 관련 인증제도를 받기 시작했습니다.

그러나, ISMS 같은 정보보호 관리체계와 다르게 개인정보와 관련된 인증제도는 아직 민간기업에까지 강제화되지 않고 있으며 관련 인증을 받을 때 각종 혜택을 주는 형태로 인증획득을 유도하고 있습니다.

정보보호 관련 인증제도

국내에 현재 시행되고 있는 정보보호 관련 인증제도는 대표적으로 ‘ISMS 인증’과 ‘정보보호 준비도 평가’가 있습니다.

① ISMS

ISMS 인증제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립∙관리∙운영하는 종합적인 체계(정보보호 관리체계)의 적합성에 대해 인증을 부여하는 제도입니다.

일정 기준에 부합하는 대상의 경우 인증을 반드시 받아야 하며, 의무 인증 대상에 포함되지 않더라도 자율적으로 신청하고 취득할 수도 있습니다. 최근 의무인증대상이 확대되면서 이에 따라 의무화 대상에 포함되는 기업•기관들은 ISMS 인증을 준비하고 정보보호 관리체계를 정비해 나가는 작업이 필요합니다.

ISMS 제도는 정책, 조직, 자산관리, 인적보안, 물리보안, 개발보안, 암호통제, 접근통제, 운영보안, 침해사고 대응 및 IT재해복구 대책 등 영역에 104개 통제 항목으로 구성되어 있습니다. 그리고 인증기관을 통해 심사를 진행하고 그 결과를 인증위원회에서 심의•의결하는 절차로 진행됩니다. 자세한 내용은 지난번에 기고된 “ISMS 의무 인증대상 확대! 어떻게 대응해야 할까?”를 읽어보시면 보다 상세한 정보를 확인 할 수 있습니다.

● 관련 글: ISMS 의무 인증대상 확대! 어떻게 대응해야 할까? (http://blog.lgcns.com/1054)

② 정보보호 준비도 평가

ISMS가 정부 주도의 법률규제인데 반해, 정보보호 준비도 평가는 민간주도 자율 규제 형태의 인증제도입니다. ISMS가 일정규모 이상의 대상자들에 대한 관리체계를 평가하는데 적합하게 구성되어 있어, 영세중소기업 및 비 ICT 분야 등에 포함된 업체는 이를 따라 정보보호 관리체계를 구축하는데 어려움이 있는데요. 정보보호 준비도 평가는 이런 정보보호 사각지대에 대응할 수 있도록 설계된 평가제도입니다.

정보보호 준비도 평가는 필수 항목이 기반지표와 활동지표로 구성되어 있습니다. 이에 더해, 향후 개인정보보호 혹은 산업분야별 특성을 고려하여 확장 가능할 수 있게 선택지표를 추가할 수 있도록 설계되어 있습니다.

기반지표는 정보보호 정책•경영•의사결정 구조(리더십)와 보안투자 및 인력•조직 등 필수적인 보안 인프라를 평가하는 7개 항목으로 구성되어 있습니다. 활동지표는 관리적•물리적•기술적 정보보호조치 현황 및 체계적인 보안활동 수행여부를 평가하는 16개 항목으로 구성되어 있습니다.

정보보호 준비도는 각 항목에 대한 평가 결과를 모두 합산하여 준비 등급을 최저 “B”에서 최고 “AAA”까지 부여하도록 되어있습니다.

정보보호 준비도는 기업이 자율적 시행하는 제도로써, 평가에 참여하면 인센티브를 줄 수 있도록 관련 근거(정보보호 산업 진흥법)를 마련하였으나, 구체적인 내용은 현재 수립 중입니다.

개인정보 관련 인증제도

개인정보와 관련된 인증제도는 민간 기업을 중심으로 한 PIMS(Personal Information Management System), PIPL(Personal Information Protection Level)과 공공기관을 중심으로 한 PIA(Privacy Impact Assessment)가 있습니다.

PIMS가 대규모 기관이나 기업을 평가하기에 적합한 인증제도인데 반해, 보호역량이 상대적으로 취약한 중소규모 조직에 대해서는 적합한 인증제도가 없어, 이를 보완하기 위해 PIPL이 만들어졌습니다.

그러나, PIMS와 PIPL이 중복된 내용을 담고 있다는 지적이 있어, 2015년도에 규제개혁의 일환으로 PIPL이 PIMS로 통합하여 운영하도록 결정되었습니다. 2016년 1월 1일부터 이를 시행하고 있는데요. 변경된 심사항목은 시행 시 혼란을 방지하기 위해 1년 유예하여 2017년 1월부터 적용됩니다.

① PIMS•PIPL(개인정보 관리체계 인증)

PIMS는 기업이 개인정보보호 활동을 체계적•지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도입니다. 이 인증을 통해 개인정보보호를 위해 기업이 무엇을(What to do), 어떻게(How to do) 조치하여야 하는지에 대한 기준을 제시하고 있습니다.

PIMS 인증은 기업 자율제도로 운영하고 있으며, 개인정보 관리체계를 구축•운영하고자 하는 기업이 자율적으로 심사를 신청하고, 인증기관이 이를 심사하여 그 결과를 인증위원회에서 심의 의결하는 구조로 되어 있습니다.

PIMS 인증심사 기준은 기존 16개 영역 124개 항목에서 PIPL과 통합되면서 9개 영역 86개 통합 항목으로 조정되어 공공기관, 대기업, 중소기업, 소상공인 등 기관 유형별로 심사항목 숫자가 달리 적용되도록 변경되었습니다.

PIMS 인증은 기업 자율로 신청해서 취득할 수 있으며, PIMS 인증 취득 기업의 경우 개인정보 사고 발생시, 정보통신망법 및 방통위 고시 등에 따라 부과되는 과징금 경감혜택을 받을 수 있습니다.

경감 혜택 근거

(과징금) 개인정보보호 법규 위반에 대한 과징금 부과기준(방통위 고시 제2013-23호)([별표] 임의적 가중 감경 금액)
“임의적 가중 감경 금액(제8조 관련)”의 감경 사유 및 비율: 위반 전기통신사업자가 개인정보보호를 위해 방송통신위원회가 인정하는 인정을 받은 경우 100분의 50이내

② PIA(개인정보 영향평가)

개인정보 영향평가는 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축•운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사∙분석∙평가할 수 있도록 만든 체계적인 절차입니다.

개인정보를 취급하는 신규 구축 사업 및 개인정보를 취급하는 기존 시스템을 변경하는 사업 등에 대해서는 개인정보 영향평가를 수행하도록 되어 있고, 공공기관의 경우 이를 반드시 실시해야 할 의무가 있습니다.

공공기관 여부 확인

국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함) 및 그 소속 기관, 지방자치단체)
『국가 인권위원회법』 제 3조에 따른 국가 인권위원회
『공공기관의 운영에 관한 법률』 제4조에 따른 공공기관
『초∙중등교육법』, 『고등교육법』, 그 밖의 다른 법률에 따라 설치된 각급 학교
특별법에 따라 설립된 특수법인(감독관청으로부터 공공기관으로 인정받은 경우에 한함)
『지방공기업법』에 따른 지방공사와 지방공단

개인정보 영향평가 의무대상

5만 명 이상의 정보주체에 관한 민감 정보 또는 고유식별정보의 처리가 수반 또는 수반될 것으로 예상될 경우
해당 공공기관 내부 또는 외부에서 구축•운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계한 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함 또는 포함될 것으로 예상될 경우
100만 명 이상의 정보주체에 관한 개인정보파일을 처리 또는 처리가 예상될 경우
법 제33조 제1항에 따른 개인정보 영향평가를 받은 후에 개인정보의 검색 체계 등 개인정보파일의 운영 체계를 변경할 경우

개인정보 영향평가를 수행하기 위해서는 주관부서 담당자, 개인정보보호 책임자, 개인정보보호 담당자 등으로 영향평가 팀을 구성하고, 영향평가 수행 전문 기관에 의뢰하여 영향평가를 수행하여야 합니다. 영향평가 수행 후 그 결과는 행정자치부에 제출하여 심의를 완료하여야 합니다.