금융보안원이 금융 당국, 개인정보보호위원회(개보위)와 함께 금융사를 대상으로 한 개인정보보호관리체계(ISMS-P) 인증 사후 점검 기준을 강화하는 방안을 논의한다. 과학기술정보통신부가 사후 점검을 통해 보안 체계가 미흡한 기업은 ISMS-P를 취소하겠다고 예고한 가운데, 금융보안원도 금융사 특성을 반영한 점검 기준을 제시할 것으로 알려졌다. 최근 금융사를 겨냥한 사이버 공격이 잇따르면서, 보안 수준을 높이기 위해 ISMS-P 인증을 유지할 수 있는 자격 요건도 더 엄격하게 심사하려는 취지다.
6일 금융 업계에 따르면 금융보안원은 금융 당국, 개보위 등과 ISMS-P 사후 점검 기준 강화에 대한 논의를 조만간 진행할 계획이다. 악성 코드 등 보안에 위협이 될 수 있는 요소에 대한 점검 항목을 늘리는 방안 등이 거론될 것으로 예상된다.
ISMS-P 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보 보호 체계와 고객 개인정보 보호 관리 체계가 적절히 운영되는지를 심사하는 공인 인증 제도다. 국내 최고 수준의 관리 체계 인증으로 평가받는다. 인증 범위는 정보 보호에 필요한 조직 구성 여부, 개인정보 처리의 적합성 등을 포함한다. 인증을 획득하지 않으면 공공기관이 진행하는 사업 입찰 시 가산점을 받지 못하는 등의 불이익을 받게 된다. 인증 의무 대상이 미취득 할 경우 과태료도 부과된다.
ISMS-P의 평가 기준은 주로 개보위가 마련하지만, 금융 거래 관련 항목은 금융보안원이 관여한다. 이번 논의에서도 금융보안원은 금융사 보안 강화에 필요한 요소들을 제시할 예정이다.
정부는 ISMS-P 인증 획득 기업에 대해 연 1회 사후 심사를 진행하는데 비밀번호 관리, 암호화 적용, 개인정보 처리 등 핵심 항목 등을 점검한다. 인증을 유지할 수 있는 지에 대한 여부를 확인하기 위해서다. 금융사에 대한 점검은 금융보안원이, 이 외 다른 업권에 속한 기업은 개보위가 진행한다.
금융보안원이 이 같은 논의에 나선 것은 최근 국내 기업에 대한 사이버 공격이 잇따르면서 ISMS-P 제도의 무용론이 불거지고 있기 때문이다. 지난해 가상 자산 거래소 업비트에서 해킹으로 회원 자산 445억원이 외부로 유출되는 사고가 발생했고, 롯데카드도 회원 297만명의 개인 정보가 유출됐다. 쿠팡은 지난달 3370만개의 고객 계정 정보가 빠져나갔고, 신한카드에서도 가맹점주 정보 19만개가 유출됐다. 이 기업들은 모두 ISMS-P 인증을 획득한 상태다.
이에 과기정통부와 개보위는 지난달 한국인터넷진흥원, 금융보안원 등 인증 기관과 민간 전문가가 참여한 관계 기관 대책 회의를 열어 ISMS-P 인증 취소 기준과 절차를 구체화해 시행하기로 했다. 연 1회 진행하는 인증 사후 심사에서 중대한 결함이 발견되거나 점검 거부, 자료 미제출, 허위 제출 시 심의를 거쳐 인증을 취소하는 것이 골자다. 인증이 취소되면 과태료가 부과되고 공공기관 사업 입찰 때 불이익을 받는다. 인증이 취소되면 이후 1년 동안 재신청할 수 없다.
금융보안원 관계자는 "유관 기관들이 사후 심사 기준을 강화해야 한다는 데 공감대를 형성하고 방향을 설정하고 있는 단계"라고 말했다.