올해 12월 확대 시행을 앞둔 '개인정보보호인증체계(ISMS)'와 관련해 인증서비스의 심사체계 투명성 및 심사위원의 역량향상 방안 등 종합적인 점검이 필요하다는 지적이 제기됐다.
국회 미래창조과학방송통신위원회 소속 김성태 새누리당 의원이 21일 미래부와 한국인터넷진흥원으로부터 제출받은 자료에 따르면 현재 ISMS 인증심사원 1307명 중 44%에 달하는 577명은 단 한 차례도 심사에 참여하지 않은 것으로 나타났다.
김 의원은 "정보통신망법 제47조 제2항에 따라 ISMS가 2013년 의무시행 이후 대상기업이 지속적으로 확대되고, 국가에서 공식적으로 인정하는 개인정보보호 인증의 중요성이 대두되고 있다"며 "그러나 실제 이를 심사하는 심사원들은 실제 심사를 하지 않는 인원이 대다수"라고 지적했다.
이어 "심사에 참여하지 않는 심사원들의 재교육과 역량강화에 국가 예산에 투입되는 만큼 자격유지를 위한 요건으로 '의무심사횟수'를 부여해야 한다"며 "또 심사에 대한 체계적인 교육과 시험을 이수한 심사원들이 심사를 진행했을 때 인증심사 자체에 대한 질적 향상이 이루어질 질 수 있을 것"이라고 강조했다.
주요 정보자산 유출과 피해를 사전에 예방하기 위해 기업 등이 수립·운영 중인 정보보호 체계가 적합한지 인증하는 제도다. 지난 2월 '정보통신망법' 개정에 따라 정보통신망 서비스 제공자, 집적정보통신시설(IDC) 사업자 등 외에도 6월부터 세입 1500억원 이상 상급 종합병원과 재학생 수 1만명 이상 학교가 의무 인증 대상으로 추가됐다.
미래부는 ISMS 인증심사원 자격요건으로 ▲기술사 ▲기사 ▲산업기사 소지자 ▲관련 학위 취득자 등을 자격요건으로 제시하고 있다.
김 의원은 "심사를 받는 업계에서는 실무경험이 부족한 상태로 배정을 받아 나오는 경우가 대부분"이라며 "연관된 경력이나 학력이 높다고 인증심사를 하는데 있어서 적합하다고 하기에는 어려움이 있다"고 지적했다.
미래부는 이같은 문제점을 보완하기 위해 ISMS 인증심사원 자격검정 심사를 2015년부터 시행중이다. 그러나 한 해에 선발되는 인원은 50여명으로 부족한 인력을 보충하기에는 극히 제한적이라는 지적이다. 자격검정심사의 확대 필요성이 제기되는 것도 이 때문이다.
현재 ISMS를 심사를 담당하고 있는 실무기관은 ▲한국인터넷진흥원 ▲한국정보통신진흥협회(KAIT) ▲한국정보통신기술협회(TTA) ▲금융보안원 등 4곳으로 지정돼 있다. 대상기관이 해당기관에 ISMS인증심사 신청을 하면 해당기관(팀장급)과 선발된 인증심사원이 기업에 나가 인증심사를 진행하는 식이다.
김 의원은 "정보통신망법 제47조 제4항에 따르면 인증심사기관의 인증 유효기간을 3년으로 명시하고는 있지만 많은 기관에서 심사인증기관을 모집한다는 사실조차 모르고 있다"며 "법에 의해서 의무적으로 심사를 받으며 발생하는 심사비용이 해당 협회 및 기관으로 들어가는 만큼 선정과정에 있어 투명한 절차가 필요하다"고 말했다.
특히 '심사인증수수료'가 투명하게 운용되야 한다는 지적도 제기됐다.
현재 인증심사대상 기업들이 ISMS 인증심사를 받으면 기업의 매출액 및 규모에 따라 적게는 2~3일 많게는 2주 정도의 심사기간이 선정되고 이에 따른 수수료를 지급하도록 돼 있다.
ISMS는 정보통신망법 제47조에 따라 의무적으로 시행되는 만큼 해당기간에 발생하는 수수료는 정부부처인 미래부에서 수령해 심사에 참여했던 심사기관들에게 배분해야 한다. 그럼에도 현재 심사인증수수료는 인증기관에서 받아 운영비로 사용된다는 게 김 의원의 지적이다.
김 의원은 "ISMS의 책임부처인 미래부에서 우선적으로 이를 환수한 뒤 심사기간 및 실적을 비교하여 배분해야 한다"며 심사인증수수료에 대한 투명성 강화를 주문했다.