정보보호책임자(CISO)도 지정·신고해야
KISA, 알뜰폰 사업자 대상 ISMS 구축 운영 교육
과학기술정보통신부가 알뜰폰사업자를 정보보호 책임자(CISO) 지정·신고 의무대상과 정보보호관리체계(ISMS, ISMS-P) 인증 의무 대상 포함하도록 정보통신망법 시행령을 개정한다.
과기정통부는 19일 이러한 내용이 담긴 시행령 개정안에 대한 입법 예고를 냈다. 지난 5월 과기정통부가 발표한 알뜰폰 비대면 부정가입 방지 대책에 따른 것으로, 과기정통부는 3월부터 관련 정책 연구를 위한 전담반을 구성·운영해왔다.
ISMS및 ISMS-P는 일정 수준 이상의 정보보호 체계를 구축한 기업에 인증을 부여하는 제도이다. 주요 통신 사업자와 금융기관 및 가상자산사업자는 인증이 의무화되어 있다. 알뜰폰 사업자에게도 이제 금융권 수준에 준하는 정보보안 관리체계 적용하고, 관련 기술적 보호조치를 요구할 예정이다.
알뜰폰사업자에게 정보보호 의무를 강화하는 건 최근 몇 년간 알뜰폰에서 비대면 가입절차의 허점을 악용해 대포폰 개통 사례가 빈번했기 때문이다. 경찰청의 ‘최근 3년간 통신사별 대포폰 적발 현황’ 자료에 따르면 지난해 알뜰폰 사업자(MVNO)의 대포폰 적발 건수는 2만2923건으로 전체 건수(3만577건)의 75%에 달한다.
통신시장이 둔화되며 알뜰폰 업계 수익성이 악화되는 상황이라 관련 업계에서는 인증 의무화가 부담으로 다가올 전망이다. ISMS 인증 수수료 자체는 800만~1400만 원이지만, 업계에 따르면 인증을 위한 관련 체계를 갖추기 위해 컨설팅 및 시스템 구축 비용을 포함하면 억대의 비용이 든다.
이에 과기정통부는 매출이 50억 원 미만인 소기업에는 절차 및 비용을 간소화한 간편 인증을 적용할 예정이다. 정부는 지난달부터 인증기준, 비용 등을 간소화한 ISMS 및 ISMS-P 인증 특례제도를 24일부터 시행했다. 인증 수수료도 기존보다 40~50% 낮아졌으며, 인증을 위한 기준 개수도 기존의 절반 수준으로 줄었다.
과기정통부 관계자는 "통신 사업자는 주요통신 서비스 제공자여서 간편인증 대상은 아니다"라면서 "법에 따라 연 매출억이 50억 이하인 경우 소기업에 해당해 간편인증을 받을 수 있다"고 설명했다.
한국인터넷진흥원(KISA)은 5월 말부터 9월 초까지 알뜰폰 사업자의 정보보호 및 개인정보보호 담당자를 대상으로 ISMS 구축 운영 교육을 진행하고 있다. 개인정보 처리 단계별 요구사항과 보호대책 요구 사항 등 인프라 운영 주요 사항 등을 교육하고 있다.
과기정통부는 이달 말까지 관련 업계의 의견을 받고 시행령을 최종 의결할 계획이다. 과기정통부 관계자는 "국조실 규제(심사위) 날짜와 맞추기 위해 입법 예고를 22일 재공고할 예정"이라고 말했다.