주요 정보통신서비스 제공자 보안관리 인증 의무화
- 방통위, 2013년 2월 18일부터 시행
방송통신위원회(위원장 이계철)는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 정보통신망법)의 개정에 따라 신설ㆍ강화된 기업 정보보호 제도에 대한 세부사항을 정하는 고시 3건을 의결했다. 이 고시들은 2013년 2월 18일부터 시행된다.
개정 고시는 ‘정보보호 관리체계 인증 등에 관한 고시’ 및 ‘정보보호조치에 관한 지침’이며, 제정 고시는 ‘정보보호 사전점검에 관한 고시’이다. 제ㆍ개정된 고시에는 기업의 실질적인 정보보호 활동 및 정보보호 투자를 촉진하고 해킹 등 사이버 위협에 대한 사전예방 조치를 강화하기 위한 내용이 반영됐다.
‘정보보호 관리체계 인증 등에 관한 고시’는
"통신사, 포털, 쇼핑몰 등 주요 정보통신서비스 제공자"
를 인증 의무대상자로 지정하고, 인증 기준 등을 재정비했다.
‘정보보호조치에 관한 지침’은 정보통신서비스 제공자가 관리적‧기술적‧물리적 보호조치를 위해 준수해야 할 최소한의 권고 기준이다.
‘정보보호 사전점검에 관한 고시’는 새로운 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 단계에서 정보보호를 고려해 필요한 대책을 마련토록 했다.
특히, 고시 내용 중 관련 기업들이 주목해야 할 사항은 주요 정보통신서비스 제공자에 대한 정보보호 관리체계(ISMS) 인증을 의무화한 조치이다. 인증 의무대상자는 △ 정보통신망서비스 제공자(ISP) △ 집적정보통신시설 사업자(IDC)
△ 정보통신서비스 제공자 중 정보통신 부문 연 매출액 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일평균 이용자 수가 100만명 이상인 사업자이다. 의무대상자가 인증을 받지 않을 경우, 1000만원 이하의 과태료가 부과되므로 주의해야 한다.
신용정보회사는 정보통산서비스 제공자 중 하나이기는 하나 정보통신부분 매출이 없으면 위 고시의 수범대상은 아니다.
이번 고시 제․개정은 실효성이 낮은 안전진단 제도를 폐지하고 정보보호 관리체계 인증제도로 일원화하는 등 기업의 정보보호 수준을 제고하기 위한 것으로서 이를 통해 관련 기업들이 정보보호에 대한 종합적인 관리체계를 수립․운영할 수 있도록 유도하기 위한 조치이다