법제도/정책

ISMS 인증 시장 8~9월부터 ‘북새통’ 조짐

이민형 기자
- 의무화 대상 250여개 가운데 인증 획득 사업자 절반도 못미쳐

[디지털데일리 이민형기자] 정보보호관리체계(ISMS) 인증 시장이 하반기에 북새통을 이룰 조짐이다.

정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 따라 내년 2월 18일까지 정보보호관리체계(ISMS) 인증을 획득해야 하는 정보통신서비스 사업자 가운데 인증을 획득한 곳은 절반에도 미치지 못한 것으로 나타났다.

30일 한국인터넷진흥원(KISA)에 따르면, 정부가 고시한 ISMS 인증 의무화 대상
250여개 사업자 가운데 현재까지 인증을 획득한 기업은 114개로 집계됐다. 의무화 시행까지 불과 7개월 남짓 앞둔 시점에도 불구하고 사업자들이 다소 더딘 움직임을 보이고 있어, 보안업계에서는 휴가철이 지난 8~9월부터 연말까지 ISMS 인증 수요가 몰릴 것을 우려하고 있다.

ISMS 인증제도는 기존 ‘정보보호 안전진단제도’를 대체해 의무화되는 정보보호관리체계 인증제도다. 일정 요건을 가진 정보통신 서비스 제공자는 의무적으로 인증을 받아야 하며, 매년 사후심사를 받도록 돼 있다.

전년도 매출액 100억원 이상의 방송통신위원회(현재는 미래창주과학부)가 고시하는 기준에 해당하는 경우와 전년도 말 기준 3개월간 하루 평균 이용자수가 100만명 이상 사업자도 포함된다.
 
대상 사업자들은 내년 초까지 인증을 완료돼야 하기 때문에 인증 컨설팅, 심사 수요가 하반기에 폭발적으로 증가할 것으로 예상되고 있다. 또한 NHN, 신세계, SK브로드밴드 등 지난 2010년에 ISMS 인증을 획득한 기업들도 갱신에 나서 시장이 더욱 북적일 것으로 관측된다.

ISMS 인증컨설팅을 수행하는 보안업계 관계자는 “대형 인터넷서비스사업자 등은 이미 대부분 인증을 획득한 상황이지만, 중소규모의 업체들은 지난해부터 검토만 하고 있는 단계”라며 “통상 인증까지 3~6개월이 소요되는 상황으로 볼 때 시간이 넉넉한 것은 아니다”고 전했다.

지난달 인증 심사를 신청한 전자상거래 업계 관계자는 “지난 6월에 내부에서 ISMS 인증 준비를 마치고 심사에 들어갔다”며 “동종업계에서 획득하는 것을 모니터링한 이후 준비에 들어가는 경우가 많은 것 같다”고 말했다.

올해 잇달아 발생한 대형 보안사고로 ISMS 인증 시장은 더욱 확대될 것으로 예상된다. 이미 미래창조과학부는 ISMS 인증 의무대상을 2017년까지 기존 250여개에서 500여개로 확대한다는 계획을 발표한 바 있다.

현재 확대 적용 대상의 기준은 나오지 않았으나, 의무대상에서 제외됐던 연 매출액 100억원 이하인 영세 VIDC, 정보통신서비스 사업자들이 포함될 가능성이 높다는 예상이 업계에서 나오고 있다.

이와 관련해 KISA도 의무대상 확대 준비에 나선다. ISMS 인증심사원을 꾸준히 양성해 기업 정보보호 트렌드로 만든다는 계획이다. 현재 ISMS 인증심사원 수는 약 850명이다.

한편, 기존 안전진단제도에서 ISMS 인증제도로 변경되면서 신설된 통제항목으로는 ▲경영진 책임(예산·인력지원, 의사결정 참여) 강화 ▲최고정보보호책임자(CISO) 지정 등 조직 구성 강화 ▲최신기술과 보안사고 반영(외주개발 보안, 스마트워크 보안, 망분리 등)의 항목 등이다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널