2026.01.29 목요일
검색
'정보보호관리체계' 검색결과
기간검색
-
~
검색영역
검색어
-
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.2025-12-30 00:07:28
-
"정보보호 관리 우수"…교촌에프앤비, 치킨 업계 최초 ISO 인증 획득 [이코노믹데일리] 교촌에프앤비는 치킨프랜차이즈 업계 최초로 정보보호시스템 인증기관인 BSI(영국왕립표준협회) 코리아로부터 국제표준 정보보호 관리체계 ‘ISO/IEC 27001:2022’ 인증을 획득했다고 17일 밝혔다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 가장 권위 있는 국제 정보보호 표준 인증이다. 교촌은 정보자산을 체계적이고 지속적으로 보호하기 위한 관리체계를 갖춘 자격을 인정 받아 BSI 코리아로부터 인증을 받았다. 교촌은 이번 국제 인증을 기반으로 국내 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 추진, ISO27001 유지·갱신 체계 강화, 보안 프로세스 고도화 등을 통해 정보보호관리체계의 지속적 개선 활동을 이어갈 계획이다. 교촌에프앤비 관계자는 “이번 인증은 당사의 정보자산을 안전하게 관리하고, 고객과 시장으로부터 신뢰를 더욱 강화하기 위한 중요한 이정표”라며 “회사의 정보 자산 특히 고객 데이터를 안전하게 보호하는 보안 경영을 통해 신뢰받는 브랜드로 자리매김하겠다”고 말했다.2025-11-17 16:04:38
-
![[국정자원 화재] 전산망 마비 국정자원, 불과 한 달 전 ISMS 인증 통과했다](https://image.ajunews.com//content/image/2025/10/10/20251010102503470490.jpg)
'전산망 마비' 국정자원, 불과 한 달 전 ISMS 인증 통과했다 [이코노믹데일리] 초유의 국가 전산망 마비 사태를 일으킨 국가정보자원관리원(국정자원)이 화재 발생 불과 한 달 전에 재해복구 항목이 포함된 ‘정보보호관리체계(ISMS)’ 인증을 통과한 것으로 드러나면서 파문이 일고 있다. ‘절반의 이중화’와 ‘백업 미비’ 등 총체적 부실이 드러난 상황에서 정부의 핵심 보안 인증 제도가 사실상 ‘무용지물’이었음이 증명된 셈이다. 이는 인증 제도의 신뢰성과 실효성에 대한 근본적인 의문을 제기한다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)에 따르면 국정자원은 정부 기관으로서 의무 대상이 아님에도 자율적으로 ISMS 인증을 신청해 지난 9월 3일 인증을 취득했다. ISMS 인증은 한국인터넷진흥원(KISA)이 주관하며 △재해·재난 대비 안전조치 △재해복구 시험 및 개선 △백업 및 복구관리 등 총 80개의 엄격한 심사 항목을 평가한다. 하지만 이번 화재로 드러난 국정자원의 현실은 ‘인증’과는 거리가 멀었다. 애초에 실시간 서비스 전환이 불가능한 ‘절반의 이중화’ 시스템이었고 심지어 공무원 업무 자료가 담긴 G드라이브(공무원용 클라우드 저장장치)는 백업조차 제대로 되지 않아 데이터가 소실되는 사태까지 벌어졌다. 재해복구 체계의 가장 기본적인 항목조차 지켜지지 않았음에도 ISMS 인증 심사는 이를 걸러내지 못하고 ‘적정’ 판정을 내린 것이다. ◆ “어디까지 신뢰할 수 있나”…제도 개선 목소리 이러한 상황에 대해 이해민 의원은 강하게 비판했다. 그는 “이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 ‘적정’하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다. 이번 사태는 ISMS 인증이 실제 운영 실태를 면밀히 들여다보는 실질적인 검증이 아닌 서류상의 요건만 맞추면 통과할 수 있는 형식적인 절차로 전락했을 수 있다는 심각한 의혹을 낳고 있다. KT, 롯데카드 등 최근 대형 보안 사고를 겪은 기업 대부분이 ISMS 인증을 보유하고 있었다는 점도 이러한 의혹을 뒷받침한다. 이 의원은 근본적인 제도 개선을 촉구했다. 그는 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안과 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다. 이는 체크리스트 위주의 서류 심사를 넘어 실제 해킹이나 재난 시나리오를 기반으로 한 실질적인 모의 훈련과 검증 체계를 도입해야 한다는 목소리로 이어진다.2025-10-10 11:35:00
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
-
개인정보위, SKT에 역대 최대 과징금 1347억 부과…개인정보 보호, 비용 아닌 투자다 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 개인정보 유출 사고의 책임을 물어 역대 최대 규모인 1347억9100만원의 과징금을 부과했다. 개인정보위는 27일 전체회의를 열고 안전조치 의무 위반 등으로 2300여만 명의 개인정보 유출을 야기한 SK텔레콤에 이 같은 제재를 의결했다고 밝혔다. 이는 국내 개인정보 유출 사고 과징금으로는 사상 최고액으로 기업의 개인정보 보호 책임에 대한 강력한 경고 메시지로 풀이된다. 이번 사고는 이동통신 서비스의 핵심인 유심(USIM) 정보가 대규모로 유출됐다는 점에서 사회적 파장이 컸다. 조사 결과 SK텔레콤은 해커가 2021년 8월 내부망에 최초 침투한 이후 약 3년 8개월간 이를 인지하지 못했으며 이 기간 동안 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 이번 사태의 원인을 SK텔레콤의 ‘총체적 관리 부실’로 규정했다. 조사 과정에서 △외부 침입에 취약한 방화벽 설정 △수천 개의 서버 계정정보 암호화 미비 △유심 복제의 핵심 정보인 인증키(Ki) 평문 저장 △2016년에 발견된 치명적 운영체제(OS) 보안 취약점 8년 이상 방치 등 기본적인 보안 조치조차 소홀히 한 사실이 드러났다. 특히 경쟁사인 KT와 LG유플러스가 각각 2014년, 2011년부터 인증키를 암호화해온 사실을 인지하고도 조치하지 않은 점은 심각한 문제로 지적됐다. 개인정보 보호책임자(CPO)의 역할이 IT 영역에만 한정돼 사고가 발생한 통신 인프라 영역은 관리·감독의 사각지대에 놓여 있었던 점, 유출 사실 인지 후 72시간 내 이용자에게 통지해야 하는 의무를 지키지 않은 점도 위반 사항으로 확인됐다. 이에 개인정보위는 과징금과 별도로 과태료 960만원을 부과하고 3개월 내 재발방지대책 수립을 명령했다. 시정명령에는 CPO의 실질적 역할 보장과 함께 사고가 발생한 이동통신 네트워크 시스템에 대한 정보보호관리체계(ISMS-P) 인증 취득 요구 등이 포함됐다. 고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.2025-08-28 11:17:56
많이 본 뉴스
영상
Youtube 바로가기
