공공기관에 조달평가 시 가점, 일반기업에 세제 해택 등 방안 마련
구체적인 ISMS 대상자는 오는 2월경 시행령에서 규정되지만, 기존에 292개 안전진단 대상자들의 대부분이 ISMS 인증 제도를 받게 될 것으로 예상된다. 안전진단 제도가 그대로 ISMS 인증 제도로 이관되도록 하는 것을 원칙으로 하고 있기 때문에 정보통신서비스 제공을 위해 안전성과 신뢰성 확보가 필요한 시설들의 경우 추후 ISMS를 의무적으로 받아야 할 가능성이 크다.
방통위는 법은 내년부터 시행되지만, 이미 안전진단 제도의 폐지가 선언되었고 내년에 ISMS 인증을 받기 위해 기업들이 대거 몰리는 현상을 막기 위해 당장 올해부터 292개 사업자들을 대상으로 ISMS를 받을 수 있도록 적극 유도한다는 방침이다.
실제 앞으로 ISMS 인증 활성화를 위해 ▲ISMS 인증 권고 시절에 정부가 공공기관들을 대상으로 펼쳤던 조달평가 시 정보보호분야 평가에서 가점을 주거나 ▲의무 대상이 된 정보통신서비스 사업자들 외에 일반 기업들을 위해 KISA에 지불하는 정보보호 활동 비용 가운데 세금을 감면해 주는 혜택 등의 다양한 제도적 방안을 모색하고 있다.
방통위 네트워크정책국 네트워크정보보호팀 신홍순 사무관은 "권고 사항이었던 ISMS인증이 강제화 된 것은 침해사고 분야에 있어 기업의 규제가 강화된 것으로 기업들 입장에서 부담이 가중될 수밖에 없는 게 사실"이라며 "그러나 침해사고의 피해를 받게 되는 국민들의 보안 강화 요구가 높아지고 있는 상황이라 기업들 입장에서는 보안 관리를 높여 갈 수밖에 없으므로 앞으로 ISMS 제도를 통한 긍정적인 효과를 기대한다"고 전했다.
한편, ISMS 인증 제도는 기업이 운영 중인 정보보호관리체계가 방송통신위원회에서 고시한 인증심사기준에 적합한지를 한국인터넷진흥원(KISA)이 심사해 인증하는 제도다. 권고 수준이었던 나머지 크게 확산은 안됐고 2002년부터 시행되어 120여 곳이 인증을 획득했다. 인증 심사 기관인 KISA로부터 3년에 한번 인증을 재심사 받아야 하며 매년 사후 관리를 받아야 한다.
반면에 안전진단 제도의 경우 연 1회 점검을 받아 당해 연도에 유효하고, 시스템 및 네트워크 안전성 확보에 치중되어 있으며 수금(계약)관계에 있는 컨설팅업체들이 인증을 부여했다는 점에서 ISMS 인증 제도와는 차이가 있다. 특히, 안전진단 기준이 48개 항목인 데 반해, ISMS 인증 심사 기준이 137개 항목이다. 이에 안전진단 제도가 ISMS 인증 제도로 일원화, 의무화됨에 따라 정보통신서비스 사업자들의 보다 실질적인 정보보호가 가능해 질 것으로 기대된다.
관련기사
김정은 기자
jekim92@itdaily.kr