정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 관련 정보통신망법 시행규칙 및 ISMS-P 고시 개정안(및 개정에 대한 잡설)
Routine 2020. 11. 30. 01:34
얼마전 드디어 기다리고 기다리던 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 일부개정안 행정예고가 올라왔다.
내 마지막 출근일(2020. 9. 25.)에 했던 업무는 개인정보 보호위원회에 출장 가서 개보위 반주무관님, 내 후임인 박사무관님, KISA 이팀장님, 양선임님과 올해 개정할 ISMS-P 고시를 다듬는 일이었다.
지금까지 했던 일이 드디어 빛을 보니 매우매우 감개무량하다.
ISMS-P 인증제도 개선·개편 작업은 작년 4월부터 진행해온 일이다.
얼마전 발표된 ISMS-P 인증제도 개선방안은 계획대로라면 작년 12월에 발표되었어야 했던 내용이다.
이게 어쩌다보니 과기정통부 조직개편과 인사이동의 소용돌이에 휘말려 “보고서가 계속 엎어지면서” 속도를 내지 못하고, 계속 새로운 이슈들이 터지면서 ISMS-P 인증제도 개선방안으로 흡수되다보니 정신을 못차렸었다.
60여쪽 보고서였다가 10여쪽 보고서였다가 20여쪽 보고서였다가 마지막에 5쪽 보고서로 완결되었던가?
데이터3법 개정 때문에 썼던 내용이 삭제되고, 교육부와 합의하면서 그 내용이 들어가고, 특금법 개정 덕분에 다시 틀이 엉켜버리고...
그 덕에 보고서 버전이 20 가까이 갔었던 기억이 난다.
일과 시간에는 현안이나 CISO 업무, 민원 대응 등으로 여기저기 불려다니느라 보고서를 쓸 수 없고, 현실적으로 야근하면서 쓰거나 주말에 사무실 나와서 보고서를 쓸 수 밖에 없었다.
...과거 회상은 여기까지...
ISMS-P 인증제도 개선을 위한 법규 개정안은 이번 정보통신망법 시행규칙과 ISMS-P 고시가 전부가 아니다.
법률 개정이 필요한 사항이 좀... 좀... 많다보니 국무회의를 거쳐야 하는 법률 개정안과 시행령 개정안은 이번에 뺐다.
여기에 정말 많은 이해관계자가 충돌할 예정이라 일단 법률, 시행령 개정 없이 부처 힘으로 개선할 수 있는 시행규칙, 고시 개정안을 먼저 발표한 것이니, 양해를 바랄 뿐이다.
그럼 시행규칙부터 차례대로 보고자 한다.
제3조제1항 각 호 외의 부분에서 “제47조제2항”을 “제47조제1항”으로 개정한 것은 일반인이 보면 이게 무슨 말장난이지 하는 개정 내용이다.
그런데 이게 사실 상당히 위험한 도박이라 부처에서는 굉장히 고민하고 고민한 끝에 넣기로 결정한 개정 사항이다.
왜냐하면 이게 법률 제47조제3항에서 제2항만 적용하도록 규정되어 있어서 원래는 법률을 개정해야 개정이 가능한 사항이다.
그래도 최대한 기업부담을 덜고, 특히 자율인증을 늘리고자 이러한 결정을 한 것이다.
제3조제1항제2호 개정은 데이터3법 개정 때 개정되는 줄 알고 방심하고 있다가 시행일 한 달 전쯤에 뭔가 이상한 걸 깨닫고 엄청 긴장했던 조문이다.
개정된 상위 법령 시행일에 맞춰 하위 법규도 다 개정이 되어야 하는데 제47조의3은 없어지는 조문이었다.
다른 개정 절차는 둘째치고 입법예고를 40일 이상 해야 하는데 이미 개정 시기를 넘긴 것이다.
그렇지만 정보통신망법 부칙 조항으로 얼렁뚱땅 해결할 수 있는 내용이라 이제야 개정되었다.
제3조제4항은 교육부와 합의안을 만들면서 굉장히 고민을 많이 했던 조문이었다.
법률 제47조제3항은 부령으로 대상을 정해서 일부를 생략하도록 규정하고 있다.
우선, 머리를 쥐어짜게 한 건 “우수 등급”의 기준은 지침에서 정하고 있는 점, 정보보호 수준진단을 규정하고 있는 「교육부 정보보안 기본지침」은 행정규칙이라 부령에서 인용하기 매우 곤란하다는 점이었다.
두번째로 머리를 쥐어짜게 한 건 법률은 “일부”를 생략하도록 규정한 점이다. 교육부와 합의한 건 “전부”인데...
그래서 교육부 정보보안 기본지침의 상위법률인 전자정부법을 인용하고 기준을 고시로 위임해서 어찌어찌 해결했고, 일부라고 함은 전부도 포함되는 것이라는 논리로 조문을 작성했다.
참 힘들게 만든 조문인데 무사히 법제처를 잘 통과했으면 좋겠다.
법제처 통과를 못 하면(=법률 개정 필요) 온갖 이해관계자가 충돌하는 헬, 카오스가 펼쳐진다!
다음으로 고시를 보고자 한다.
전체적으로 실수가 많이 보인다. 내가 실수했는지 퇴고하는 과정에서 실수했는지 잘 모르겠다...
박사무관님께 넌지시 알려드려서 고쳐질 수 있도록 해야겠다...
(행정규칙은 법제처 사전심사 대상이 아니다...)
별표 6 제2호가목은 소프트웨어기술자의 노임단가가 적용하기 정말 애매한 기준이라는 점과 보수와 경비에 대한 인증심사원들의 불만을 반영해서 개정한 내용이다.
사실 인증심사원 보수가 공식적으로 어딘가에 공개된 게 없다! (다들 얼마인지 알지만)
이건 좀 아닌 것 같아서 아예 보수와 경비 기준에 대한 공개 의무를 부과시켰다.
제2조제8호의2는 심사팀장을 구체화하려는 목적이었는데...
규제 심사 과정에서 계획대로 잘 안 되었나보다...
구체적인 내용은 말할 수는 없고, 그 흔적은 제24조제2항이다.
제6조는 심사기관에 대한 문턱을 낮춰주기 위한 개정이다.
앞으로 다양한 분야에서 ISMS 인증이 필요하게 될 것이고, 더 많은 ISMS 인증심사가 이뤄질텐데 현행은 부처가 공고해야만 심사기관 신청을 할 수 있는 구조였다.
그러다보니 산업부 등을 통해 규제 개선 안건으로 날아와서 반영하게 된 내용이다.
남용하는 사례도 있을 것이니 이 부분도 함께 규정되었다.
제7조는 ISMS-P 고시를 맨 처음 (제정에 가까운) 개정할 때 빠뜨렸던 내용이다.
인증기관, 심사기관 지정해놓고 이걸 공고를 안 했다...
참고로 관보 게재는 법규 상 근거가 없으면 불가능하다.
제8조는 ISMS-P 인증이 여러 부처 공동 소관이 되면서 발생한 문제를 해결하고자 개정한 내용이다.
조문대로 해석하면 KISA가 뭔가 도와주기가 곤란한 상황이 되기 때문에 이 부분이 보완되었다.
또, 이 규정을 통해 관리감독을 강화하는 목적도 있다.
더 구체적인 관리감독은 법률부터 개정해야 되어서 여기에는 반영되지 않았다.
사실 심사원, 심사팀장, 심사기관 역량 강화가 절실하다는 것을 의견수렴 과정에서 느꼈지만, 반영하기가 참 어렵다.
제11조는 개인정보 보호법 관련 내용을 반영한 것이다.
ISMS-P 고시를 맨 처음 개정할 때 반영되었어야 하는 내용일텐데...
(아니, 그 전에 이 조문은 내가 못 봤던 것 같은데?)
제15조는 정말 많은 내용을 규정하려고 했으나, 규제 심사 때문인지 심사원 유효기간 연장 내용만 남은 것 같다.
이거 때문에 올해 상당히 골치 아팠기 때문에 공무원한테도 반가운 규정이다.
제19조도 위와 마찬가지.
사실 더 바뀌었어야 했는데, 역시 법률 개정이 필요해서 이번 개정에서는 빠진 것 같다.
제20조제5항은 앞서 시행규칙에서 봤던 교육부 정보보호 수준진단 우수 등급의 기준을 정한 내용이다.
교육부 정보보안 기본지침에 정보보호 수준진단이란 말이 없어서 얼마나 머리를 쥐어짰는지...
제20조제6항은 수탁사의 중복 심사를 최대한 줄이려고 만든 조항이다.
맨 처음에는 이 내용을 시행규칙에 넣었던 걸로 기억하고 있는데 이걸 고시로 내렸던가?
현재는 위탁사가 ISMS 인증심사를 받을 때마다 정보흐름 또는 개인정보흐름을 따라 수탁사도 매번 심사를 받았었는데, 이 조문이 시행되면 수탁사가 ISMS 인증을 받으면 위탁사가 ISMS 인증심사를 받을 때 현장심사를 하지 않을 수 있다.
이 문구를 계속 고치고 고쳤는데 아직도 어려워서 처음 이 조문을 본 사람은 이해하기 어려울 수도 있을 것 같다.
제21조는 정보보호 공시를 한 경우 “ISMS-P 인증” 도 수수료 할인을 받을 수 있도록 하기 위함이다.
작년에는 할인이 없다가 올해는 24% 할인했다가 곧 30% 할인이 가능해질 것 같다.
TMI인데, 인증·심사기관에 대해 수수료 할인분에 대한 정부의 예산 지원은 없다.
(법규정도 없고, 애초에 지원할 수 있는 예산도 없다...)
수수료 할인은 그대로 인증·심사기관의 손해가 되는 구조인데 이걸 어떻게하면 원만하게 해결할 지 나는 해결책을 찾지 못했다.
열린재정에서 내역사업을 볼 수 없다는 걸 지금 알았다...
ISMS 인증 관련 예산 쥐꼬리만한데...
제23조는 지금까지 세부점검항목이라고 하는 암묵적인 인증기준을 양지화하고, 이걸로 분야별 특성을 대응하기 위함이다.
매번 “신청인과 협의를 통해 ... 인증심사 항목을 조정”한다는 내용이 ISMS-P 인증에 대한 공격 포인트로 들어왔기 때문에 아예 이번에 빼버렸다.
기업규모가 추가되긴 했는데, 예전 PIMS와 같은 형태가 되지 않을까 싶다.
(설마 이걸로 간편인증을 때우려는 거 아니겠지?)
제24조는 규제심사 때문인지 타협한 결과인 것 같다.
매년 특정 시기에 심사가 몰려서 기업도 심사기관도 심사원도 비명을 질렀었는데, 이게 들어가면 조금은 더 나아지지 않을까.
제25조제6항 개정은 아무래도 실수한 부분인 것 같긴 한데... 취지는 원격심사 허용.
올해 해외사업자 심사 때문에 정말 골치가 아팠다.
원격심사를 하려고 해도 규정이 서면 혹은 현장이었기 때문에 너무 힘들었다.
원격심사 그 자체도 뭔가 준비된 게 없기도 했지만.
이를 위한 후속 작업이 잘 이뤄지길 바랄뿐이다.
지금까지 간략하게나마 ISMS-P 인증 관련 정보통신망법 시행규칙과 ISMS-P 고시 개정안에 대한 잡설을 펼쳐봤다.
외부에 공개된 내용으로 적었지만, 내 기억을 기록하기 위해 좀 더 구체적인 무언가가 있었으면 하는 아쉬움이...
정부 정보는 생각보다 공개된 게 많아서, 일반인이라도 OSINT만으로도 이 정도 내용은 추측할 수 있지 않을까.
매번 온갖 정보를 알아내기 위해 공무원을 괴롭히는 기자들에게 아쉬운 부분이기도 하다.
ISMS-P 고시가 행정예고되어서 너무 기쁜 나머지 잡설을 굉장히 길게 썼다.
부디 이 행정예고안이 그대로 아무 문제 없이 통과되었으면 하는 바람이다.
다음에 퇴직일 전날(2020. 10. 4.)에 아무도 없는 사무실에 나와 법률안과 시행령안을 만들었던 김영식의원 대표발의 정보통신망법 개정안을 살펴봐야겠다.
'Routine' 카테고리의 다른 글
| 33회 공인중개사 1차 시험 합격 수기 (0) | 2022.12.31 |
|---|---|
| 정보보호 관점에서 바라본 데이터3법 개정에 대한 개인적인 생각 (1) | 2020.01.12 |
| CISSP 도전기 (3) - 선택과 벼락치기, 그리고 합격 (8) | 2019.01.29 |
| CISSP 도전기 (2) - 생각보다 양이 많다! (1) | 2019.01.05 |
| CISSP 도전기 (1) - CISSP를 떠올리다 (0) | 2018.11.24 |