여야 의원, 8월 21일 공공기관 ISMS 인증 의무 골자로한 ‘정통망법’ 개정안 제출...ISMS-P가 아닌 것 아쉬움
“제도는 시작일 뿐…중앙정부 차원의 예산 지원과 표준화된 가이드라인 제공 필요”
국민의 개인정보와 국가 주요 정보를 다루는 공공기관의 보안 체계를 한층 강화하기 위한 법안이 국회에서 발의됐다. 김기현 의원을 비롯한 여야 의원 14명은 8월 21일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안을 제출하며, 공공기관도 정보보호 관리체계(ISMS) 인증을 의무적으로 받아야 한다고 밝혔다.
현재 ISMS 제도는 일정 규모 이상의 민간 정보통신서비스 제공자에 대해서만 적용된다. 대형 포털, 쇼핑몰, 클라우드 서비스 기업 등이 대표적이다. 그러나 상대적으로 규모가 작다는 이유로 다수의 공공기관은 대상에서 제외돼 있다. 문제는 이들 기관이 국가 주요 정보와 민감한 개인정보를 다루고 있음에도 제도적 안전망이 부족하다는 점이다. 최근 지방자치단체와 산하기관에서 크고 작은 해킹 사고가 이어지고, 홈페이지를 통한 개인정보 유출 사례가 발생하면서 제도의 사각지대가 현실적 위협으로 드러나고 있다.
■“공공기관도 예외 없다”
발의된 개정안은 ‘공공기관의 운영에 관한 법률’에 따른 공공기관 중에서 보유한 정보의 종류와 중요도, 규모를 고려해 대통령령으로 정하는 기관에 ISMS 인증을 의무화하는 내용을 골자로 한다. 즉, 기관 규모와 업무 특성에 따라 단계적으로 적용 대상을 넓히되, 결국 국민 데이터를 다루는 모든 공공기관은 보안 체계를 갖춰야 한다는 취지다. 개정안이 국회를 통과하면 공포 6개월 후부터 시행될 예정이다.
ISMS는 기업이나 기관이 보유한 정보와 시스템을 안전하게 관리할 수 있는 체계를 갖추고 있는지를 정부가 인증하는 제도다. 관리적·기술적·물리적 보호조치가 적절히 이뤄지고 있는지를 종합적으로 점검한다. 인증을 받기 위해서는 ▲보안 정책과 인력 체계, ▲위험 관리 절차, ▲접근통제·암호화 등 기술적 보호조치, ▲재해·침해사고 대응 계획까지 총체적으로 평가를 통과해야 한다.
기업의 경우 대규모 정보유출 사고를 계기로 ISMS 인증 제도가 강화돼 왔다. 하지만 공공기관은 상대적으로 적용에서 빠져 있어, 보안 관리의 일관성이 떨어진다는 지적이 있었다. 업계 전문가들은 “공공기관은 민간보다 해킹 공격에 취약한 경우가 많다”며 “예산과 인력의 제약 속에서 인증 기준에 맞는 보안 체계를 갖추는 것은 큰 도전이 될 것”이라고 분석한다.
법안이 시행되면, 그동안 제도권 밖에 있던 소규모 공공기관도 ISMS 인증을 준비해야 한다. 이에 따라 기관별 보안 수준이 상향 평준화되고, 개인정보 유출과 같은 대형 사고를 예방할 수 있을 것으로 기대된다. 특히 공공기관의 해킹은 단순한 데이터 유출을 넘어 국가 안보와 직결될 수 있다는 점에서, 보안 체계 강화는 국민 신뢰 확보에도 중요한 의미가 있다.
정부가 추진 중인 디지털 전환 정책 역시 안전한 기반이 확보돼야 지속 가능하다. 이번 법안이 공공분야의 보안 수준을 높이고, 전자정부 서비스와 공공데이터 활용에 대한 국민적 신뢰를 높이는 전환점이 될 수 있다는 평가가 나온다.
■“제도는 시작일 뿐…예산 지원과 표준화된 가이드라인 제공 필요, ISMS-P로 가야 한다는 지적도 나와”
정보보호 전문가들은 이번 개정안이 공공기관 보안 강화의 첫걸음이 될 것이라는 데 공감하면서도, “제도만으로는 충분하지 않다”고 지적한다. 인증을 위한 형식적 요건 충족에 그치지 않고, 실제 사고 대응 역량을 높일 수 있는 훈련과 지원이 병행돼야 한다는 것이다. 또한 기관별 보안 인력과 예산 격차를 해소하기 위해 중앙정부 차원의 예산 지원과 표준화된 가이드라인 제공이 뒤따라야 한다고 조언한다.
또한 더 강화된 제도가 필요하다며 아쉬움을 드러냈다. ISMS가 정보보호 관리체계 전반을 점검하는 제도라면, ISMS-P는 여기에 개인정보보호 관리체계까지 포함한 종합 인증이다. 전문가들은 공공기관이 다루는 정보의 특성상 개인정보가 대규모로 포함되는 만큼, 장기적으로는 ISMS가 아닌 ISMS-P 인증을 의무화해 국민 정보 보호 수준을 한층 끌어올려야 한다고 지적한다.
[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[PICK! 이 안건] 이훈기 등 17인 "디지털취약계층이 지능정보서비스 안전하게 이용할 수 있도록 해야"](https://www.jeonmae.co.kr/news/photo/202508/1177691_888045_4759.jpg)
![[동십자각] 깜깜이 AI 기본법, 속 타는 기업들](https://newsimg.sedaily.com/2025/08/24/2GWR1XW740_1.jpg)
![‘이진숙체제 무력화’ 방통위법도 수술대 [與, 쟁점 법안 강행 처리]](https://img.segye.com/content/image/2025/08/24/20250824509088.jpg)
