병원·대학 ISMS 의무인증 연내 획득 `난항`… 12월까지는 심사 신청해야

올해 정보보호관리체계(ISMS) 의무인증 대상에 새로 포함된 의료기관과 교육기관의 인증 획득이 사실상 내년으로 미뤄질 전망이다. 인증심사 최초 신청부터 인증서 발급까지 최소 20여주가 걸려 지금 당장 신청서를 접수해도 연내 인증 획득이 어렵다. 3000만원으로 상향된 과태료 부과를 피하기 위해선 늦어도 12월까지는 심사 접수가 이뤄져야 한다는 분석이 나온다.

Photo Image
ISMS 인증마크

17일 관련 업계에 따르면 상급 병원과 대학 등 ISMS 신규 의무대상 80여곳 중 올해 안에 인증 획득이 가능한 곳은 손에 꼽을 만큼 적다. 의무대상 확대를 담은 개정 정보통신망법 시행에 앞서 사전에 준비해온 일부 기관을 제외하곤 대부분 과태료 부과 대상이 되는 셈이다.

ISMS 인증 제도는 주요 정보자산 유출과 피해를 사전에 예방하기 위해 기업 스스로 수립·운영 중인 정보보호 체계가 적합한지 인증하는 제도다. 지난해 12월 공포 후 올해 6월부터 시행에 들어간 `정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)`에서 ISMS 인증 신규 의무대상을 추가했다.

세입이 1500억원 이상인 의료법상 상급종합병원과 고등교육법상 재학생수 1만명 이상인 학교가 새로 포함됐다. 민감한 의료·교육 정보를 대량으로 다루는 병원, 대학 등 비영리기관 정보보호 수준을 높이기 위해서다.

Photo Image
ISMS 인증심사 절차(자료:정보보호 관리체계 인증 신청 가이드라인 v1.8)

인증 획득에는 통상 6개월 이상이 걸린다. 보안 설비와 체계를 구축해 최소 2개월 이상 운영해야 신청 가능하다. 외부 컨설팅까지 받는 기간을 고려하면 기존 정보보호 수준에 따라 심사 준비에만 수개월이 더 소요된다.

보안 컨설팅 업계 관계자는 “법안에 따라 연내 인증을 획득하기 위해선 시행 전부터 어느 정도 준비가 필요했다”며 “지금 상황에선 대부분 인증 획득이 내년에 이뤄질 것”이라고 내다봤다.

연초부터 의무대상에 포함될 기업·기관에 안내가 이뤄졌지만 시행령과 시행규칙 확정이 당초 계획보다 더디게 진행됐다. 확대 범위를 놓고 일부 혼란이 가중된 데다 정보보호 관련 전담 조직이 없거나 기존 보안 체계 자체가 미흡한 곳도 많아 연말까지 인증 획득에 어려움을 겪는다.

미래부는 별도 유예기간은 없다는 입장이다. 상황은 인식하고 있지만 우선 시행된 정보통신망법 준수를 최대한 유도할 계획이다. 다만 과태료에 대해선 촉박한 시일 등을 고려해 고의과실 여부를 따져 부과할 예정이다. 인증심사 신청을 위해 2개월 이상 관리체계 운영이 필요한 만큼 연내 신청 접수 여부가 과태료 부과를 판가름할 것으로 보인다.

미래부 관계자는 “ISMS 인증을 준비하는 기업·기관에 최대한 협조를 제공하고 있다”며 “무엇보다 기업이 스스로 정보보호 수준을 높여 법안을 준수하고 인증을 획득하려는 의지가 중요하다”고 말했다.


박정은기자 jepark@etnews.com


브랜드 뉴스룸