법제도/정책

ISMS 인증심사원 44%, 심사 참여 0건 “종합점검 선행 필요”

최민지

[디지털데일리 최민지 기자] 올해 12월 개인정보보호인증체계(ISMS)의 확대 시행을 앞두고 인증서비스 심사체계 투명성 및 심사위원 역량 향상 방안 등 종합적인 점검 필요성이 제기됐다.

21일 국회 미래창조과학방송통신위원회 소속 김성태 새누리당 의원이 미래창조과학부(이하 미래부)와 한국인터넷진흥원으로부터 제출받은 자료에 따르면, 현재 ISMS 인증심사원 1307명 중 44%에 달하는 577명은 단 한 차례도 심사에 참여하지 않은 것으로 나타났다.

김 의원은 “ISMS가 2013년 의무시행 이후 대상기업이 지속 확대되며 국가에서 공식적으로 인정하는 개인정보보호 인증의 중요성이 대두되고 있지만, 실제 심사를 하지 않는 인원이 대다수”라며 “심사에 참여하지 않는 심사원들의 재교육 및 역량강화에 국가 예산이 투입되는 만큼, 자격유지를 위한 요건으로 의무심사횟수를 부여해야 한다”고 강조했다.

미래부에서 ISMS 인증심사원 자격요건으로 제시한 기준들은 기술사, 기사, 산업기사 소지자 및 관련 학위 취득자 등을 자격요건으로 제시하고 있다. 하지만, 실무경험이 부족한 상태로 배정을 받아 나오는 경우가 대부분이라 인증심사에 적합하다고 말하기 어렵다는 지적이다. 이에 체계적인 교육과 시험을 이수한 심사원들이 심사를 진행해야 한다는 주장이 나왔다.

미래부는 이를 보완하기 위해 ISMS 인증심사원 자격검정 심사를 지난해부터 시행중이나 한 해에 선발되는 인원은 50여명이다. 이와 관련 김 의원 측은 부족한 인력을 보충하기 어려운 수준으로 자격검정심사를 확대해야 한다고 밝혔다.

현재 ISMS를 심사를 담당하고 있는 실무기관은 ▲한국인터넷진흥원 ▲한국정보통신진흥협회(KAIT) ▲한국정보통신기술협회(TTA) ▲금융보안원이다. ISMS 인증심사 신청을 하면, 해당기관과 선발된 인증심사원이 기업에 나가 인증심사를 진행한다.

김 의원은 “정보통신망법 제47조제4항에 따르면 인증심사기관의 인증 유효기간을 3년으로 명시하고 있지만 많은 기관에서 심사인증기관을 모집한다는 사실조차 모르고 있다”며 “법에 의해 의무적으로 심사를 받으며 발생하는 심사비용이 해당 협회 및 기관으로 들어가는 만큼 선정과정에 있어 투명한 절차가 필요하다”고 말했다.

이어 “한국정보통신진흥협회(KAIT)의 경우 내년 4월 인증 유효기간인 3년을 채우게 된다”며 “다음 심사기관을 선정하는데 있어 미래부가 자격요건 및 심사일정 등을 홍보해 많은 기업들이 공개적으로 입찰할 수 있는 기회를 제공해야 한다”고 덧붙였다.

ISMS 인증심사의 경우 기업의 매출액 및 규모에 따라 2일에서 2주 정도의 기간이 소요된다. 또 이에 따른 수수료를 지급하게 된다. 김 의원은 의무적으로 시행하는 인증 심사인만큼 수수료를 국가에 귀속시켜야 한다는 의견을 내놓았다.

김 의원은 “해당 기간 발생하는 수수료는 정부부처인 미래부에서 수령해 심사에 참여했던 심사기관들에게 배분해야함에도 불구하고, 현재 심사인증수수료는 인증기관에서 받아 운영비로 사용되고 있다”며 “ISMS의 책임부처인 미래부에서 우선적으로 이를 환수한 뒤 심사기간 및 실적을 비교해 배분해야 한다”고 주문했다.

아울러, 김 의원은 대학교와 병원이 ISMS 의무대상에 포함된 것을 언급하며 세부적인 심사방안을 고려할 것을 요청했다.

김 의원은 “개인정보보호 인증대상이 확대돼야 하는 방향성은 공감하지만 ISMS 투명성 및 심사위원 역량강화 마련, 학교 및 병원의 특수성에 따른 심사체계 개선 방안 등 세부적인 심사방안을 고려해야 한다”며 “법이 통과돼 지켜져야 하는 만큼 학사관리시스템과 대표 홈페이지를 비롯한 인증을 실시하되 인증 이후 매년 진행되는 사후심사를 통해 그 범위를 확대하는 방안을 고려할 필요가 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널