미래부, 대량 개인 정보 유출 방지를 위해 ISMS 의무 인증 대상 확대
올 초부터 유난히 필자의 스마트폰에는 스팸문자가 많이 오고 있습니다. 심지어 최근에는 보이스피싱 전화도 심심치 않게 걸려와 골칫거리가 생긴 기분입니다.
올 초 발생한 카드사의 개인정보유출 대란으로 많은 이들이 가슴을 쓸어내리고 분노를 참지 못했습니다. 개인정보유출 후에 걸려오는 각종 보이스피싱 전화나 문자로 인해 일상생활에 지장이 생기는 한편 이로 인한 2차 피해가 발생할까 전전긍긍하며 심리적인 불안감을 감추지 못했던 것이 사실입니다.
그런데 이 같은 사태가 수습되기도 전에 최근 KT 고객 약 1천 200만 명의 개인정보가 또 다시 유출되는 일이 발생하면서 정보보호가 심각한 사회문제로 떠오르고 있습니다. 저 또한 그 피해자 중 한 명으로 지속적으로 오는 스팸문자와 전화 때문에 불편함을 느끼고 있지만 오랫동안 사용해 왔던 핸드폰 번호를 바꾸는 것이 또 쉽지는 않아 고민이 이만저만이 아닙니다.
정부의 신속한 대책과 강도 높은 방침이 요구되는 가운데 미래창조과학부가 정보보호관리체계(ISMS) 의무 인증 대상을 카드사 등 개인정보를 대량으로 보유하고 있는 기업으로 확대할 것이라는 뜻을 밝혔습니다. 지난 3월 9일에 개인정보를 대량으로 보유 및 관리하는 기업에 ISMS 인증을 ‘의무적’으로 부과하기 위해 연내 정보통신망법을 개정하겠다고 발표한 것입니다.
ISMS는 ‘Information Security Management System'의 약자로 정보통신망의 안전성 확보를 위해 수립·운영하고 있는 기술적, 물리적 보호조치 등 종합적인 관리체계에 대한 인증 제도를 말합니다. 즉, 기업이 보유한 개인정보 등 주요 정보 자산이 외부로 유출되는 것을 미연에 방지하고 대처하기 위해 기업이 운영하고 있는 정보관리시스템에 대해서 정부 차원에서 인증을 부여하는 제도입니다.
쉽게 비유하자면 ‘건강검진’을 떠올려 보시면 좋을텐데요, 건강검진은 혹시 내 몸에 큰 병이 생길 징후가 나타나고 있는지, 별 다른 탈 없이 건강할 수 있을지 미리 나의 몸 상태를 검진하는 것이지요. ISMS 인증제도도 이와 같은 맥락에서 생각할 수 있습니다. 개인정보를 대량으로 보유하고 있는 기업들이 그러한 정보를 보호하고 관리하는 방식을 살펴보고 ‘건강’한지 ‘그렇지 않은지’ 판단하는 것입니다.
◆ ISMS 인증제도
어떤 조직이 정보보호 관리체계를 구축, 운영하고 있을 때, 그 관리체계가 정보보호 관리체계의 인증기준에 적합한지를 인증기관이 객관적이고 독립적으로 평가해 적합성 여부를 판단해주는 제도
정보보호의 관리과정에 의하면, 조직 내·외부의 위협요소가 변화하거나 새로운 취약점이 발견되었을 때 이에 대응할 수 있는지 여부를 인증심사의 필수항목으로 채택하고 있는데요, 주기적으로 심사하여 지속적인 유지관리가 되도록 유도하고 있습니다. 그리고 심사에 의해 ISMS 인증의 기준에 미치지 못할 경우에는 그 부분을 건강한 수준으로 끌어올려야 합니다.
마치 건강검진을 매 년 정기적으로 받고 이상이 발견되면 치료를 받는 것처럼 말이지요.
한편, 2013년부터는 정보통신망법 개정에 따라 정보보호 관리체계 인증이 의무화됨으로써 금융 등 기존에 포함되지 않았던 분야도 ISMS 인증을 받아야 하도록 법이 개정된 바 있는데 연 100억 원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만 명 이상인 사업자는 반드시 이 인증을 받아야 했었습니다.
그러나 올 초에 문제가 됐던 카드사들의 경우에는 매출 100억 원, 이용자 100만 명의 기준 충족이 되지 않아 그 의무 대상자에서 제외됐었기 때문에 그 같은 대규모의 정보유출 사고로까지 이어졌던 것입니다. 이 때문에 미래부에서는 정보통신기술(ICT) 분야가 아니더라고 의료, 교육 등 각 분야의 주요 기업이 ISMS 인증을 받을 수 있도록 유도하는 정책 방안을 마련하기로 한 것입니다.
미래부에 따르면, 정보보호관리체계(ISMS) 인증은 2010년에는 83건, 2011년 119건, 2012년 152건에서 2013년 272건으로 지속적으로 증가했으며, 올 연말까지 380건, 2016년에는 470건으로 꾸준히 증가해나갈 것이라고 예상하고 있다고 합니다.
이처럼 정보보호관리체계(ISMS) 인증을 받는 기업이 점점 더 많아지게 되면 올 초 발생했던 대량의 개인정보 유출 사고와 같은 경우는 줄어들게 될 수 있겠다는 생각이 듭니다. 그러나 앞서 말씀드렸던 것처럼 ISMS 인증은 건강검진과도 같은 개념이기 때문에 그와 같은 최적의 정보보호 관리체계를 꾸준하게 유지하기 위한 기업 측의 노력이 절실히 요청될 것입니다. 앞선 카드사 및 KT의 사례만 보더라도 인재(人災)로 인한 결과라로 보는 견해들이 많기 때문이죠.
뿐만 아니라 개인적인 차원에서도 개인정보유출을 방지하거나 피해를 예방할 수 있는 조치를 미리 취해놓으면 좋을 것 같습니다. 그 중 하나로 명의보호 안심 서비스가 있는데, 이는 본인 명의로 발생하는 실명확인과 본인인증을 사전 차단하거나 발생할 경우에는 즉시 알려주도록 하는 서비스입니다.
이 외에도 다양한 서비스가 제공되고 있지만 가장 중요한 것은 ‘개인정보’에 대한 안전한 보호 장치가 더욱 체계적으로 마련되고, 정보 관리자들의 허술한 관리 및 낮은 책임감으로 인해 유출되는 등의 불상사가 발생하지 않도록 사회적 관심과 주의가 요청되었으면 하는 바람입니다.
'시사정보 큐레이션 > ICT·녹색·BT·NT外' 카테고리의 다른 글
| 3D프린터로 사람이 살 집을 짓는 시대가 도래했다 (0) | 2014.03.18 |
|---|---|
| 안드로이드 OS 압박과 페이스북•트위터 등 비협조로 삼성전자 타이젠폰 출시 연기 (0) | 2014.03.17 |
| [스크랩] 휴대전화 명의도용, 이제 더 이상 당할 수는 없다! 명의도용방지서비스 전면 확대 (0) | 2014.03.17 |
| '결제는 진화중'..긁는 카드에서 앱카드·현금IC카드 확산 (0) | 2014.03.17 |
| [스크랩] 원격의료 궁금증 풀기 10문10답! (0) | 2014.03.15 |