기업의 정보보안 수준을 높이기 위해 도입되는 `정보보호 관리체계(ISMS)` 인증율이 가입 대상의 절반에도 못 미치는 것으로 나타났다. 연 매출과 하루 평균 이용자수가 일정 기준을 넘어서는 인터넷 기업은 내년 2월 18일까지 의무적으로 인증을 받아야한다. 인증 획득에 약 6개월이 소요돼 아직까지 인증을 받지 못한 기업들은 대부분 기한 내 확보가 어려울 전망이다.
16일 업계에 따르면 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 개정에 따라 내년 2월 18일부터 전년도 연간 매출액이 100억원을 넘거나, 3개월 간 하루 평균 이용자 수가 100만명 이상인 기업은 의무적으로 ISMS 인증을 받아야 한다. 이를 어기면 1000만원 이하 과태료가 부과된다. 인터넷서비스사업자(ISP), 인터넷데이터센터(IDC) 등이 주요 대상 기업이다.
하지만 잠재적 인증 대상 기업 260∼270개 중 인증을 받은 기업은 120여개에 불과해 인증율이 약 46%에 불과하다. ISMS 인증 획득에 통상 6개월가량 소요되는 점을 감안할 때 시간적 여유가 많지 않은 상황이다.
장상수 한국인터넷진흥원 보안관리팀장은 “대통령령에 해당하는 정보통신 서비스 제공자는 의무적으로 인증을 받아야 한다”며 “인증 절차가 6개월 이상 걸리기 때문에 지금이라도 기업들이 서둘러야 할 것”이라고 설명했다.
방송통신위원회는 앞서 정보통신망법 개정에 맞춰 기존 시행하던 안전진단 제도를 폐지하고 이 보다 높은 수준의 인증제도인 ISMS를 도입하기로 했다. 종전 안전진단이 정보통신 설비와 시설 위주로 점검이 이뤄졌다면, ISMS는 조직의 전반적인 정보보호 관리체계를 분석하는 데 무게중심이 쏠려 있다.
기업이 ISMS 인증을 획득하려면 정보보호최고책임자를 지정하고 전담 조직도 구성해야 한다.
정보보호관리체계 및 안전진단 비교 현황
김원석기자 stone201@etnews.com
