정보통신망 이용촉진 및 정보보호에 관한 법률(이하 “정보통신망법”)은 정보통신망 의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하는 자에 대하여 정보보호 관리체계(Information Security Management System)의 적합성을 인증(이하 “ISMS 인증”)하는 제도를 두고 있습 니다. 정보통신망법은 ISMS 인증 의무 대상을 규정하면서 그 대상자를 국내 사업자 로 한정하고 있지 않으므로 글로벌 기업의 관계회사 또는 지사 등으로서 해외에 소재 한 시스템, 서버 등을 이용하고 있는 정보통신서비스 제공자 등(이하 “해외 사업자”) 도 ISMS 인증 의무 대상이 될 수 있습니다.
이번 Legal Update에서는 ISMS 인증 제도의 주요 내용과 함께, 특히 해외 사업자가 ISMS 인증과 관련하여 유의하여야 할 사항을 소개해 드리겠습니다.
I. ISMS 인증 제도 개요
1. ISMS 인증 제도란?
ISMS 인증 제도는 사업자 등이 정보통신망의 안정성 확보를 위해 마련한 관리체 계의 적합성에 대하여 인증을 부여하는 제도입니다. 서비스 운영을 위한 조직 및 인력, 장소, 인프라 등 정보에 대한 종합적인 관리 현황이 적합성 인증의 대상이 되 며, 구체적으로는 해당 사업자가 (1) 관리체계를 적절하게 수립하여 운영하고 있는 지 여부 및 (2) 인적·물리적 보안, 암호화 적용, 정보시스템의 도입, 시스템·서비스 의 운영 및 보안 관리, 사고 예방 및 대응, 재해복구 등 사항에 관해 요구되는 보호 대책을 갖추었는지 여부를 심사하게 됩니다(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제23조에 따른 [별표7]).
2. ISMS 인증 의무 대상
정보보호 체계를 구축하여 운영하고 있는 사업자는 누구나 일정한 요건을 갖추어 ISMS 인증을 받을 수 있습니다. 다 만, 사업의 특성 및 규모를 고려할 때 정보보호의 중대한 필요성이 인정되며 아래의 기준에 해당하는 자는 ISMS 인 증 의무 대상자로 규정되어 있습니다(정보통신망법 제47조 제2항). ISMS 인증 의무 대상자는 최초 해당된 해의 다음 해 8월 31일까지 인증을 받아야 하며(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제19조 제4항), 만약 인증 의무 대상자가 ISMS 인증을 받지 않을 경우 3,000만원 이하의 과태료가 부과됩니다(정보통신망법 제76조 제1 항 제6의5호). 또한 향후 개인정보 유출사고 등 정보보호 체계와 관련한 사안이 발생한 경우에도 ISMS 인증 의무위반 은 불리하게 작용할 수 있습니다.
3. ISMS 인증 취득 절차
(1)준비 및 신청 단계
ISMS 인증을 취득하고자 하는 사업자는 사전 준비 단계로 1) 정보보호 운영 현황 분석, 2) 위험평가, 3) 정보보호 대책 수립 및 정책 제정을 하여야 하며, 인증 심사 신청을 위하여 각종 정보보호 정책, 지침, 매뉴얼, 정보보호 관리 체계 명세서, 운영 명세서, 자산목록대장, 네트워크구성도, 위험 식별 및 평가 보고서, 위험조치계획서 등을 준비하 여야 합니다. ISMS 인증 신청은 정보보호 관리체계를 구축하여 2개월 이상 운영한 이후에 할 수 있습니다.
(2)심사 단계
ISMS 인증 심사는 서면심사와 현장심사를 병행하여 실시됩니다. 현장심사에서는 서면심사의 결과와 기술적·물리 적 보호 대책 이행 여부를 확인하기 위하여 담당자 면담 및 관련 시스템을 직접 확인하는 등의 방법으로 이루어집 니다. 심사 과정에서 결함이 있는 사항이 발견되는 경우 심사기관에서는 결함 사항에 관하여 보완 요구를 하며, 사 업자의 보완 조치 결과가 확인되면 이를 바탕으로 최종적인 심의가 이루어집니다.
(3)인증 및 사후 관리 단계
인증위원회의 심의·의결을 거쳐 ISMS 인증이 완료되며, 취득한 ISMS 인증은 3년 간 유효합니다. 인증을 취득한 자는 매년 유효기간 내에 사후심사를 신청하여 정보보호 관리체계를 지속적으로 유지하고 있는지 여부를 확인 받 아야 합니다. 또한 유효기간이 지난 후에도 인증을 유지하기 위해서는 유효기간 만료 3개월 전까지 갱신심사를 신 청하여 ISMS 인증을 갱신하여야 합니다(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제27조, 제28 조, 제32조 제3항).
II.해외 사업자의 ISMS 인증 관련 유의 사항
앞서 말씀드린 바와 같이, 정보통신망법은 제47조 제2항 각호의 요건에 부합하는 경우 ISMS 인증 의무를 부과하고 있 으며, 인증 의무 대상자를 국내 사업자로 범위를 한정하고 있지 않습니다. 따라서 해외 사업자라도 정보통신망법이 정하 는 요건에 해당하는 경우에는 ISMS 인증을 받아야 합니다. 해외 사업자가 ISMS 인증 의무와 관련하여 특히 유의하여야 할 사항은 다음과 같습니다.
- 우선, 해외 사업자는 정보통신망법상 ISMS 인증 의무 대상자에 해당하는지를 사전적으로 자가진단을 해 볼 필요가 있습니다. 특히, 사업의 성격(정보통신망서비스제공자(ISP) 또는 집적정보통신시설(IDC) 사업자)이 아닌 규모(매출 액 또는 이용자 수) 요건에 따라 ISMS 인증 의무 대상자가 될 가능성이 있는 해외 사업자는 요건 충족 여부를 주기적 으로 파악할 필요가 있습니다.
- ISMS 인증 항목을 사전에 검토하여 기준 충족을 위한 방안을 마련할 필요가 있습니다. 예를 들어, 해외에 본사를 둔 글로벌 기업의 경우 본사 규정을 그대로 관계회사에 적용하는 경우가 많으므로 사전적으로 ISMS 인증 항목과 본사 규정을 검토하고 상이한 부분을 재정비할 필요가 있을 것입니다.
- 해외 사업자의 정보통신서비스 관련 서버 및 인력이 해외에 위치해 있는 경우, 현장심사가 해외에서 진행될 가능성 이 있고 국내 법인에 비해 심사에 더 오랜 시간이 소요될 수 있습니다. 따라서 해외 사업자는 정보통신서비스 관련 서 버가 해외에 소재하거나 현장 인력이 외국국적자인 경우 심사 대응 과정에서 심사 항목뿐만 아니라 인증심사팀과의 원활한 커뮤니케이션을 위한 준비를 할 필요가 있습니다.
- 나아가 최초 심사를 거쳐 인증을 받았다고 하더라도, 3년의 유효기간이 도과하기 전에 유효기간 연장을 위한 갱신 심사를 받아야 하며 인증 유효기간 중에도 매년 1회 이상 사후 심사를 받아야 합니다. 따라서 해외에 소재한 시스템, 서버 등 자산에 대해서도 지속적으로 정보보호 관리 체계 운영 및 ISMS 인증 항목 이행 현황 점검 등의 사후 관리가 필요할 것입니다.
“법무법인(유) 율촌 Data&Tech팀은 개인정보, 데이터, AI 등을 포함한 신 기술에 대한 전문성과 네트워크를 보유하고 있 으며, 신 기술을 융합하는 다양한 산업 전반에 대한 규제 동향 파악 및 분석, 법률 자문, 입법 컨설팅, 기업 전략 등에 대한 법률 자문을 제공하고 있습니다. 특히, 국내외 기업들을 위하여 ISMS 인증을 포함한 다수의 정보보호 체계 자문 경험을 토대로 전문적인 ISMS 인증 심사 준비 및 대응 컨설팅이 가능합니다. 보다 전문적인 내용이나 궁금하신 사항이 있으시 면 언제든지 연락 주시기 바랍니다.”
