본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?

2016.03.15

2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정되었습니다. 정보통신망법은 개인정보 유출 등 관련 사고가 있을 때마다 개인정보보호 강화 측면에서 지속적으로 개정되어 왔는데요. 특히 이번 개정안에는 일반기업이나 공공기관 등에 큰 영향을 미칠 수 있는 항목이 포함되어 있습니다.

바로 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증 의무대상이 매출 또는 세입이 1,500억 원 이상인 업체로 확대되어 많은 기업이 의무적으로 ISMS 인증을 받아야 하는 상황이 되었습니다. 2014년 중소기업청 발표 기준 매출액 1,500억 원 이상 중견기업의 수가 3,826개라고 하는데요. 이중 상당수 기업이 ISMS 인증 의무대상에 해당할 것으로 보입니다.

이번 시간에는 어떤 기업이 ISMS 인증을 받아야 하고, 또 어떻게 준비해야 하는지 자세히 설명해드리도록 하겠습니다.

ISMS 인증이란?

ISMS란 정보통신망의 안전성 확보를 위해 수립•운영하고 있는 기술적•물리적 보호조치 등 종합적인 관리체계에 대한 인증제도를 말하는데요. 국내에서는 정보통신망법 제47조에 의해 일정 기준에 해당하는 기업은 의무적으로 ISMS 인증을 취득하도록 하고 있습니다. 즉, 기업의 보안관리 수준을 일정 수준 이상으로 향상시키고, 지속적으로 관리할 수 있는 체계를 만들어주는 인증제도라고 할 수 있습니다.

l 정보보호 관리체계 인증제도 소개 (출처: KISA 홈페이지)

ISMS 인증 의무대상은?

2016년 6월 1일 시행 예정인 정보통신망법 개정안 제47조에는 아래와 같이 의무인증 대상이 정의되어 있습니다. 아래 의무인증 대상자 조건 중 빨간색 부분이 2015년 12월 개정된 법률에 의해 추가된 조항으로 매출•세입이 1,500억 원 이상인 기업을 의무대상자로 추가 지정하였습니다.

정보통신망법 제47조 (정보보호 관리체계의 인증)
① 미래창조과학부장관은 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립·운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012.2.17., 2013.3.23., 2015.12.1.>

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012.2.17., 2015.12.1.>

  1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
  2. 집적정보통신시설 사업자
  3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

l 정보보호 관리체계의 인증 (출처: 법제처)

미래창조과학부에서 2016년 2월 3일 게시한 정보통신망법 시행령 입법예고 안에는 의무인증 대상을 조금 더 구체적으로 명시하고 있는데요.

[정보통신망법 시행령 (2016.6.2 시행)]

제49조(정보보호 관리체계 인증 대상자의 범위)
① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

② 법 제47조제2항제3호에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. <개정 2016.5.31.>

  1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자

가. 「의료법」 제3조의4에 따른 상급종합병원

나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

  1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
  2. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

l 정보통신망법 시행령 (출처: 미래창조과학부)

간단히 정리해 보면 2016년 시행된 정보통신망법에서 신규로 추가된 매출액 또는 연간세입액 1500억 이상인 자는 최종적으로 “상급종합병원” 및 “재학생 수 1만명 이상의 학교(대학, 산업대학, 교육대학, 전문대학, 방송통신대학 및 사이버대학, 기술대학, 각종학교)가 신규 ISMS 의무대상으로 지정되었으며, 금융기관의 경우 ISMS 의무대상에서 제외 되었습니다.

‘기존 포함되어있던 평균 이용자수 1만명’ 이상인 사업자는 아래 KISA 가이드와 같이 올해도 유효하게 ISMS의무대상 사업자 입니다.

l 정보보호관리체계 인증제도 안내서(출처: KISA)

이제 아시겠죠? 정보통신망을 통해서 서비스되는 시스템(B2B, B2C 모두 포함)의 사이트별 직전년도 3개월 평균 방문자 수(페이지뷰 기준)의 합이 1만 명이 넘게 되면 ISMS 의무대상에 해당이 됩니다.

ISMS 인증절차는?

ISMS 인증 업무는 미래창조과학부가 주관부처로서 법제도 및 심사기관 지정 등의 업무를 담당하고, 한국인터넷진흥원(KISA)이 인증기관으로서 인증 업무를 총괄하고 있습니다. 즉, KISA에서 인증심사, 인증서 발급 등의 업무를 수행하고 있는 것입니다.

l 정보보호관리체계 인증제도 안내서(2013)

인증심사를 준비하고 최종적으로 인증서를 받을 때까지 걸리는 기간은 인증범위 및 기업 규모에 따라 다르지만 8~10개월 정도 소요가 됩니다. 상세하고 꼼꼼하게 통제항목의 이행 여부를 점검하고 있으므로 준비단계에 많은 노력을 기울여야 합니다.

l 정보보호관리체계 인증제도 안내서(2013)

ISMS 인증제도는 정보보호 관리활동을 지속적으로 실행할 수 있는 체계가 만들어져 있는가를 인증해주는 제도이기 때문에 일회성 심사로 끝나는 것이 아닙니다. 매년 인증심사 기준에 부합하게 보안관리가 이루어지고 있는지 심사를 받아야 하는데요. ISMS 인증을 취득한 후에는 매년 사후심사를 받고, 3년 주기로 갱신심사를 받아야 합니다.

l 정보보호관리체계 인증제도 안내서(2013)

기업에서 ISMS 인증을 취득하고 지속적으로 관리하기 위해서는 전담인원 배치, 시스템 운영부서의 지원, 기타 보안솔루션 등 일정 부분 투자를 할 수 밖에 없습니다. 따라서 경영진의 꾸준한 관심과 지원이 절대적으로 필요한데요. 단순히 법적 의무를 준수한다는 측면에서 접근하기보다는 기업의 보안수준을 한 단계 끌어올리는 수단으로 인증제도를 잘 활용하는 것이 좋습니다.

ISMS 인증 준비는 어떻게?

ISMS 인증을 취득하기 위해서는 ISMS 인증기준에 따른 104개 통제항목에 대해 적절한 보호대책을 수립하여 이행하고 있다는 것을 증명해야 합니다. 대략적인 유형을 살펴보면 정책, 조직, 자산관리, 인적보안, 물리보안, 개발보안, 암호통제, 접근통제, 운영보안, 침해사고 대응 및 IT재해복구 대책 등 다양한 항목에 대한 보호대책이 수립되어 있어야 합니다.

l ISMS 인증심사 점검 항목

대기업처럼 다수의 정보보안 인력이 존재하는 경우 자체적인 준비만으로 인증심사 대응이 가능하겠지만, 정보보호 전담자가 없는 중견기업 입장에서는 내부 인력만으로 인증심사를 준비하기가 상당히 어렵습니다. 그래서 일정 부분 정보보호컨설팅 업체의 도움을 받을 수밖에 없는데요. 기업의 정보보호 현황에 따라 아래와 같은 3가지 형태로 정보보호컨설팅 업체를 활용할 수 있겠습니다.

l 규모에 따른 ISMS 심사 준비 방안

인증범위에 따라 차이가 있을 수 있지만, 인증준비 과정은 보통 ISMS 인증컨설팅을 통한 관리체계 수립 → 개선과제 이행 → 인증심사 준비 → 심사수검 → 결함조치의 단계를 거치게 됩니다. 최종적으로 인증서를 받게 되는 시점은 결함조치 기간이나 인증위원회의 개최 일자(분기 단위 개최)에 따라 달라집니다.

l ISMS 인증심사 단계 및 수행 Task

인증심사 과정에서 인증심사원들이 통제항목별 보호대책의 적절성을 검증하게 되는데요. 미흡한 사항에 대해서는 결함보고서를 작성해 관리체계 보완을 요구하게 됩니다. 기업에서는 인증심사 종료 후 1개월 이내에 결함사항에 대한 개선조치 후 보완조치내역서를 KISA에 제출해야 하는데요. 조치 기간은 최대 2개월을 연장할 수 있습니다.

l 결함보고서 예시 및 보완조치 방안

결론적으로 총 3개월의 기간을 개선조치에 사용할 수 있지만, 준비단계에서부터 ISMS 통제항목별 현황을 잘 분석해 미흡한 부분에 대해서는 사전에 조치를 취하는 것이 좋습니다. 개선이 어려운 항목들은 미리 개선활동을 수행하는 것이 인증서를 최단기간 내에 획득하는 방법입니다.

ISMS 인증, 꼭 받아야 하나?

ISMS 인증을 받기 위해서는 컨설팅 비용, 솔루션 구축비용, 시스템 개선 인건비와 인증유지 관리를 위한 비용이 발생할 수 있는데요. 비용이 많이 드는 만큼, ISMS 인증을 받지 않을 경우에는 어떤 처벌이 있는지 궁금하신 분들이 많으실 거라 생각됩니다.

ISMS 의무대상 사업자가 ISMS 인증을 받지 않는 경우 최대 3,000만 원까지 과태료를 부과 받을 수 있습니다. 개정된 정보통신망법 부칙에 시행일(2016년 6월 1일)로부터 6개월 이내에 인증을 취득하라고 명시되어 있으므로 ISMS 인증 의무대상 사업자는 2016년 12월까지 ISMS 인증을 취득해야 하는 상황입니다.

ISMS 인증 취득을 위해 발생하게 되는 비용이 과태료보다 많게 되면, 차라리 과태료를 내겠다는 의사결정을 하실 수도 있을 텐데요. 하지만 과태료는 매년 부과될 수도 있고, 개인정보 유출 사고 등이 발생했을 때 기업이 법적 의무를 다했는지가 소송에서 중요한 쟁점이 된다는 것을 고려해보면 의무를 준수하는 것이 합리적이고 바람직할 것입니다.

앞으로 독자 여러분의 정보보호관리체계에 대한 이해를 돕기 위해서 다음 편에서 ‘ISMS 유사 인증제도’, ‘ISMS 주요 결함사항 및 대응방법’, ‘ISMS 통제항목 대응을 위한 보안솔루션’ 등에 관한 내용을 계속 소개해 드릴 예정이니 독자 여러분의 많은 관심 부탁 드립니다.

글 | LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

  • [1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
  • [2편] ISMS 인증을 위한 보안솔루션 구성 방안
  • [3편] ISMS 인증 주요 결함사항 및 대응방안
  • [4편] 정보보호 관련 인증 및 평가 제도
  • [5편] 스마트폰의 보안 위협과 대응 방안
  • [6편] IoT 보안 취약점 사례 소재 및 취약점 진단
  • [7편] 스마트폰 앱 서비스 보안의 현재와 미래
  • [8편] 중국 개인정보 보호법 제도 동향 및 대응방향
  • [9편] 출입 보안을 위한 보안 설계
  • [10편] 소프트웨어 개발 보안 – 시큐어 코딩
  • [11편] 당신의 출입카드는 안녕하십니까?
  • [12편] 통합 보안 관리 동향 및 활용 방안
  • [13편] 비대면 실명인증이란 무엇인가?
  • [14편] 프로젝트에서 소스 코드 보안 점검하기
  • [15편] 차세대 행위 기반 위협 탐지 방식에 관하여
  • [16편] 핀테크 보안 위협과 대응 방안
  • [17편] 인공지능과 보안
  • [18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
  • [19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
  • [19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
  • [20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
  • [20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
  • [21편] 유전자 정보 보안 안전한가?

챗봇과 대화를 할 수 있어요