개인정보보호위원회와 과학기술정보통신부의 “정보보호 및 개인정보보호 관리체계의 인증 실효성 강화방안” 논의


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. 들어가며

  최근 대규모 고객정보 유출사고 등이 반복적으로 발생함에 따라서, 개인정보보호위원회와 과학기술정보통신부는 2025. 12. 6. 정보보호 및 개인정보보호 관리체계 인증의 실효성을 강화하기 위한 회의를 개최하고, 그 개선 방안을 논의하였습니다.

  이하에서는 위 회의에서 논의된 인증 실효성 강화방안의 주요 내용을 설명드리겠습니다.



2. 인증 실효성 강화방안의 주요 내용

① ISMS-P 인증*을 공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 대규모 플랫폼 등)에 대해 의무화
* ISMS-P 인증: Personal Information & Information Security Management System, 주요 정보자산 유출 및 피해 예방을 위해 일정수준 이상의 기업 또는 기관이 구축·운영 중인 개인정보 및 정보보호 체계가 적합한지 인증하는 제도(정보통신망법 제47조, 개인정보보호법 제32조의2에 근거)

② 통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련하여 적용

③ 심사방식 전면 강화


④ 분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통해 인증의 전문성 제고

⑤ 사후관리 강화
- 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시
- 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증 취소
- 사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검

  한편, 개인정보보호위원회는 이번 회의에서 유출사고가 발생한 인증기업에 대해 현장점검을 실시할 예정임을 밝혔고, 과학기술정보통신부 역시 지난 10. 22. 관계부처 합동 「정보보호 종합대책」의 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업들에게 취약점 점검 등 긴급 자체 점검을 실시하도록 요청하였으며, 기업들의 점검 결과에 대해 2026년 초부터 현장 검증을 실시할 예정이라고 밝혔습니다.

  양 기관은 “과학기술정보통신부·개인정보보호위원회·인증기관 합동 제도개선 TF”를 통해 이번 회의에서 논의된 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영하여 2026년도 1분기 중 관련 고시를 개정한 후 단계적으로 시행할 예정입니다.

3. 시사점

  이번 인증 실효성 강화 방안은 최근 반복적으로 발생한 해킹 및 대규모 개인정보 유출사고에 대하여 정부가 제도 개선과 감독 강화를 통해 적극적으로 개입하겠다는 정책적 방향성을 드러낸 것으로 이해됩니다.

  특히 개인정보보호위원회와 과학기술정보통신부가 개인정보 보호법 및 정보통신망법 등 관련 법령 개선을 조속히 추진하여 인증 실효성 강화방안을 제도화하겠다고 밝힌 만큼, 통신사, 대규모 플랫폼 사업자 등 관련 기업으로서는 향후 법령·고시 개정 및 개인정보보호위원회와 과학기술정보통신부의 후속 조치를 면밀히 주시하고 이에 선제적으로 대응하는 것이 필요합니다. 

 

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.