[컨슈머타임스 장애리 기자] 정보보호관리체계(ISMS) 의무 인증 대상이 카드상 등 개인정보 다량 보유 기업으로 확대될 방침이다. 기업의 정보보호 역량을 강화하기 위해서다.
미래창조과학부는 이를 위해 연내 정보 통신망법을 개정할 방침이라고 9일 밝혔다.
ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계에 관한 104개 기준을 통과하면 한국인터넷진흥원(KISA)이 인증하는 제도다.
통신사, IT서비스 업체, 웹사이트 등 정보통신서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자는 ISMS 인증을 의무적으로 받아야 한다.
또 포털, 쇼핑몰, 은행, 증권사는 ISMS 인증 대상에 포함되지만 카드사의 경우 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상자에서 제외돼 있다.
의무 대상이 아니어도 자발적으로 인증을 받을 수 있지만 현재 카드업계에서 ISMS 인증을 획득한 기업은 BS카드 한 곳뿐이다.
최근 정보유출 사고를 일으킨 국민카드, 롯데카드, 농협카드는 ISMS 인증업체 명단에서 빠져 있다.
미래부는 교육·의료 분야의 주요 기업들도 자발적으로 ISMS 인증을 받도록 유도하는 정책 방안을 연내 마련하기로 했다.
ISMS 인증 대상을 전 산업분야로 확대하면 현재 264건인 발급 건수가 연말 380건, 2016년 470건으로 증가할 것으로 미래부는 내다보고 있다.
이 밖에도 의료기관, 출연연구소, 교통·에너지 분야 국가 중요시설을 주요정보통신기반시설로 지정해 보안을 강화하는 정책도 추진, 주요정보통신기반시설을 2014년 330건에서 2016년 380건으로 증대할 방침이다.
또 정보통신망법 개정으로 기업의 정보보호최고책임자(CISO) 지정을 의무화해 기업 경영진이 정보보호 인식을 높이고 자발적으로 보안투자를 확대하도록 유도할 계획이다.
