헷갈리는 보안인증제도 3인방 ‘어디보자’

ISMS·PIMS·PIPL 인증체계·취득혜택 꼼꼼히 살펴보기

[보안뉴스 김경애] 현재 국내에서 시행하고 있는 정보보호관리체계 인증제도는 ISMS, PIMS, PIPL 등 총 3가지. 그러나 기업 및 기관 입장에서는 각각의 특성을 고려할 때 어떤 인증이 유용하고 효율적인지 헷갈리는 경우가 적지 않다. 이에 따라 본지는 국내에서 시행하고 있는 보안관련 3대 인증에 대해 정리해 봤다.

인증 체계 소개

(1) ISMS(Information Security Management System)

미래창조과학부(이하 미래부)가 정책기관이고, 한국인터넷진흥원(이하 KISA)이 인증기관인 ISMS는 정보통신망의 안전성 확보를 위해 기술적·물리적·관리적 보호조치 등 종합적인 정보보호 관리체계를 평가하는 인증제도다.

인증 운영은 △정보보호정책 수립 및 범위설정 △경영진 책임 및 조직 구성 △위험관리 △정보호호대책 구현 △사후관리의 5단계 과정을 거쳐 수립·운영되고, 정보보호대책 요구사항(선택항목)으로는 정보보호 관련 위험을 통제하기 위해 13개 통제분야에 대해 92개 통제사항을 제시하고 있다.

모든 공공기관 및 기업의 경우 인증신청이 가능하며, △기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자 △집적정보통신시설 사업자(IDC) △정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만명 이상인 정보통신서비스 제공자는 의무적으로 인증을 취득해야 한다.

한편, 공공기관을 대상으로 하는 G-ISMS는 올해 1월 1일부터 ISMS에 통합된 상황이다.

(2) PIMS(Personal Information Management System)

방송통신위원회가 정책기관이고, 개인정보보호협회가 위탁해 KISA가 인증하는 PIMS는 기업이 개인정보보호 활동을 체계적·지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 여부를 점검하고, 평가해 기업에게 부여하는 인증제도다.

인증체계는 개인정보관리과정, 개인정보보호대책 및 개인정보생명주기 3개 분야의 118개 통제 항목, 325개의 세부점검 사항으로 구성된다. 인증대상은 개인정보를 처리하는 기업 및 기관, 개인이라면 누구나 가능하고, 인증취득은 자율이다.

(3) PIPL(Personal Information Protection Level)

안전행정부가 정책기관이고 한국정보화진흥원이 인증기관인 PIPL은 2013년 11월부터 본격 시행된 개인정보보호 인증제도다. 개인정보를 수집·이용하고 있는 공공기관 및 민간 기업이 ‘개인정보보호법’에서 요구하는 보호조치와 활동을 이행하고 일정수준 이상 달성했는지를 승인하는 제도로 인증대상은 공공기관·대기업·중소기업·소상공인에 따라 4가지 유형으로 분류되고, 자율 인증제도다.

인증 취득시 혜택
(1) ISMS
인증 취득에 있어 혜택도 각 인증 종류에 따라 다양하다.

▲ 국내 보안인증 체계 및 혜택 비교·분석 표

ISMS 인증을 취득한 기업에게는 가산점과 요금할인 등의 혜택이 있다. 미래창조과학부의 경우 보안관제 전문업체 ‘업무수행능력 평가기준’ 신뢰도 항목에서 정보보호 인증기업에 5점(만점)을 부여하고, 2010년 신설된 혜택으로 공공부문 정보시스템 기획·구축·운영 사업자는 SW개발사업자 선정 시 기밀보안 평가항목에서 만점을 부여한다.

KISA는 정보보호대상 업체에게 입찰 또는 과제선정 평가 시 가점을 부여하고, 신용평가 기관은 한국신용평가정보 기업신용평가 시 가점을 부여한다. 또한 한국기업지배구조원은 상장기업 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점을 부여(2010년 신설 혜택)한다.

요금할인 혜택은 보험사를 대상으로 배상책임보험 등 정보보호관련 보험 가입 시 할인받을 수 있다.

ISMS인증 수수료 할인의 경우 KISA는 정보보호大賞 시상식에서 대상·우수상·특별상을 수상한 기업에게 50~100% 수수료를 할인해 주고, 상시 근로자 수 50명 미만 또는 매출액 50억 미만의 소규모 기업의 경우 50% 할인혜택이 있다.

(2) PIMS

PIMS 인증 취득시 혜택은 기업이 개인정보 사고 발생 시 과징금, 과태료를 경감해 준다. 과징금은 위반 전기통신사업자가 개인정보보호를 위해 방송통신위원회가 인정할 경우 100분의 50이내이며, 과태료는 위반행위의 동기·내용·결과·유형 및 개인정보보호를 위한 사업자 노력 등을 고려해 과태료 금액의 2분의 1의 범위에서 그 금액을 가중 또는 감경받을 수 있다.

(3) PIPL

PIPL 인증취득기관은 ‘개인정보보호법’에 따라 실시되는 기획점검 대상에서 제외되거나 실시유예 혜택을 받게 된다. 만약 행정처분을 받게 될 경우 처분이 감경될 수도 있다.

또한, 개인정보보호 우수기관 포상, 개인정보 보호 인증 관련 교육기회 및 정보제공 등의 혜택과 인증취득으로 부여받은 인증마크는 국민들로부터 개인정보를 안심하고 맡길 수 있는 기관이라는 객관적인 판단의 기준으로 활용될 수 있다.

[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)