정부, 정보보호 심사 강화… 사고시 ‘인증 취소’, IP 카메라 해킹땐 통신사-설치업체도 책임

공공기관-플랫폼 등 인증 의무화

브랫 매티스 쿠팡 최고정보보안책임자(CISO)가 2일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 침해사고 관련 현안 질의에서 의원 질의에 답변하고 있다. 왼쪽은 박대준 쿠팡 대표이사. 2025.12.2/뉴스1

정부가 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P)에 대한 심사와 사후관리 전반을 대폭 강화하기로 했다. 최근 쿠팡 등 ISMS·ISMS-P 인증기업에서 장기간 비정상 접속이 탐지되지 않거나 유출 항목이 통지에서 누락되는 사례가 드러나면서 인증이 무용지물이라는 비판이 제기된 데 따른 조치다.

7일 개인정보보호위원회와 과학기술정보통신부 등에 따르면 정부는 전날 관계 부처 회의에서 ISMS·ISMS-P 개선안을 논의하고 시행 방안을 마련했다. 지금까지 기업이 선택적으로 받아오던 ISMS-P 인증은 앞으로 주요 공공기관·대형 플랫폼·통신사 등 개인정보를 대규모로 처리하는 시스템에 의무 적용된다. 개인정보 유출 시 사회적 파장이 큰 기업에 대해서는 심사 기준도 한층 엄격해진다.

예비심사에서는 핵심 보안 항목을 우선 점검하고, 본심사에서는 기술 점검과 현장 실증을 더 꼼꼼히 진행해 실제 운영 상태를 확인하도록 했다. 사고 발생 후 관리도 강화한다. 인증기업에서 개인정보 유출이나 심각한 보안 사고가 발생하면 즉시 특별 사후심사를 실시해 원인과 재발 방지 조치를 점검하고, 중대한 결함이 확인되면 인증이 취소될 수 있다.

한편 정부는 이날 인터넷 프로토콜(IP) 카메라 해킹 방지 대책도 발표했다. 최근 경찰이 IP 카메라 12만여 대를 해킹해 촬영된 영상을 해외 음란 사이트에 판매한 일당을 검거하면서 가정·병원·사업장 등에서 불안이 커진 데 따른 대응이다. 정부는 카메라 제조사뿐 아니라 설치업체·통신사의 책임을 강화하고, 목욕탕·숙박업소 등 정보 유출 위험이 큰 업종에는 개인정보보호법상 안전조치 의무를 별도로 고지하기로 했다.

개인정보보호위원회 제공

임재혁 기자 heok@donga.com
장은지 기자 jej@donga.com