우선, 작년 (2015년) 12월 1일 기준으로 정보통신망법이 개정되었다. (정보통신망법은 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"의 약어이다.)
개정된 내용을 살짝 살펴보면 우리가 관심있게 살펴봐야 할 내용은 제47조가 되겠다.
(자세한 내용은 모든 국가법령이 총 망라되어 있는 국가법령정보센터에 가면 볼 수 있다.)
 |
| 2015년 12월 1일 개정된 정보통신망법 제47조 |
개정된 내용의 정확한 문구를 보면 다음과 같다.
제47조(정보보호 관리체계의 인증) ① 미래창조과학부장관은 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립·운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012.2.17., 2013.3.23., 2015.12.1.>
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012.2.17., 2015.12.1.>
1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
보면 크게 바뀐 내용이 파랗게 강조해 놓은 부분이다. 기존의 변경되기 전 법률을 보면 대통령령으로 정하는 기준에 해당하는 자였다. 그럼 그 대통령령으로 정하는 기준이란 무엇이었을까?
정보통신망법 시행령 (변경 전)제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 "대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자"란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
2. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
매출액 기준이 기존 100억원에서 1,500억원으로 늘어나서 인증 대상이 줄어든 것으로 보일 수 있지만 "정보통신서비스 부문" 이라는 제약사항이 삭제되었기 때문에 전체 기업을 대상으로 인증 대상의 범위를 확대한다는 것을 알 수 있다. 또한, "세입"이라는 단어의 포함으로 공공기관도 인증 범위에 포함한다는 것을 알 수 있다.
하지만 아직 개정된 법을 보더라도 "대통령령으로 정하는 기준에 해당하는 자" 라는 문구 때문에 결국 시행령이 나오는 것을 지켜봐야 정확히 인증 대상이 되는지 여부를 정확히 알 수 있을 것 같다.
지금 문제가 되고 있는 부분은, 아니 문제까지는 아니겠지만 많은 사람들 그리고 기업들이 걱정하고 있는 부분은 바로 법에서 아래의 부칙 때문이다.
부칙 <법률 제13520호, 2015.12.1.>
제1조(시행일) 이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다만, 제29조제2항 및 제3항의 개정규정은 공포한 날부터 시행한다.
제2조(개인정보의 파기 등에 관한 적용례) 제29조제2항 및 제3항의 개정규정은 같은 개정규정 시행 전에 수집하거나 제공받은 개인정보에 대해서도 적용한다.
제3조(정보보호 관리체계 인증 심사 생략에 관한 적용례) 제47조제3항의 개정규정은 이 법 시행 전에 정보보호 관리체계에 대한 인증을 신청하여 그 절차가 진행 중인 자에 대해서도 적용한다.
제4조(정보보호 관리체계의 인증에 관한 경과조치) 정보보호 관리체계의 인증을 받지 아니한 자는 이 법 시행 후 6개월 이내에 제47조제2항의 개정규정에 따라 인증을 받아야 한다.
제5조(과태료에 관한 경과조치) 이 법 시행 전의 위반행위에 대하여 과태료를 적용할 때에는 종전의 규정에 따른다.
그렇다, 2016년 6월 2일에 법이 시행 되는데 시행 후 6개월 이내에 인증을 받아야 한다. 즉, 2016년 안에 ISMS인증을 받아야 한다는 뜻이다. 그런데 아직 시행령이 나오지 않았다.
과거 사례를 비추어 일반적인 경우 시행 직전 달, 약 5월 정도에 시행령이 나와야 할 것 같은데 그 때 시행령이 나오면 ISMS인증을 위한 준비부터 실제 인증을 받기까지 7개월만 남게 된다. 이 7개월의 기간이면 사실 기업 입장에서는 ISMS인증심사 준비를 하고 인증을 받을 수는 있겠지만 (필요한 보안 솔루션은 이미 구비하고 있다고 가정) 인증 심사를 해주는 기관 (KISA) 입장에서는 수 많은 기업들을 연내 인증 심사를 수행하고 실제 인증서를 발급해 주어야 한다는 뜻이다.
그래서 그런지, 2월 이면 시행령 초안으로 공청회를 개최할 예정이라고는 하지만 아직 구체적인 계획이 나온 것은 없다.
내 개인적인 생각으로는, 만약 기업이 대기업 군에 속해 있다면 대부분 의무적으로 ISMS인증을 받아야 할 것으로 보인다. 시행령 자체로 범위를 좁히지는 않을 것 같으며 산업 별로유예기간을 정한다던지 하는 정도가 아닐까?
다음 글 부터는 ISMS인증을 준비하기 위해서는 무엇을 해야 하는지 조금씩 써보도록 하겠다.
※ 자세한 내용은 ISMS인증 공식 웹사이트인 "http://isms.kisa.or.kr/" 참고
댓글 없음:
댓글 쓰기