기업들이 정보보호관리체계 인증을 확보하려는 목적이 ‘보안 강화’보다 ‘보험용’ 성격이 강한 것으로 나타났다.
한국침해사고대응팀협의회(회장 류재철)는 18일 한국과학기술회관에서 ‘기업 정보보호 이슈 전망’ 행사를 열었다. 기업 내 보안 인력은 올해 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL) 등 관련 인증 획득을 최대 목표로 꼽았다. 대부분 사고 발생 시 과태료나 과징금을 줄이는 수단으로 생각했다.
ISMS는 ISO27001을 국내 상황에 맞게 조정해 미래창조과학부가 시행 중인 인증이다. 지난해 의무화돼 많은 기업이 받았거나 심사 중이다. 올해부터 등급제(최우수, 우수)로 확대된다.
방송통신위원회가 마련한 개인정보보호관리체계(PIMS) 인증도 있다. 기업이 개인정보보호 활동을 체계적이고 지속적으로 수행하는지 살피는 인증이다. PIMS 인증을 따면 개인정보유출 사고 발생 시 과징금과 과태료가 경감된다.
안전행정부는 민간 기업을 대상으로 개인정보보호수준인증제(PIPL)를 시행 중이다. 한국정보화진흥원(NIA)이 인증 심사한다. 지난해 11월부터 시행돼 개인정보를 수집·이용하는 공공기관과 민간 기업이 ‘개인정보보호법’에서 요구하는 보호조치와 활동을 이행하고 일정 수준 이상 달생했는지 살핀다.
기업은 주로 법에서 규정하는 요건을 충족한 후 더 잘하고 있는지 판단하기 위해 인증을 신청하지만 실제 목적은 보험이다. 상당수 기업은 인증 획득 후 매년 사후 심사를 받을 때마다 외부컨설팅을 받는다. 인증 후 보안 수준이 유지되지 않는다.
심상현 한국침해사고대응팀협의회 사무국장은 “기업은 법에서 규정하는 요건을 모두 충족한 이후 더 잘하고 있는지 판단하려고 인증을 신청한다”며 “사고 발생시 과태료나 과징금을 감경받을 수 있으니 일단 받아두고 보자는 분위기”라고 설명했다.
김인순기자 insoon@etnews.com
