과학기술정보통신부와 개인정보보호위원회가 정보보호 인증제 전반을 뜯어고친다. 사고 터지고 나서 "인증 있었다"는 말이 더 이상 면죄부가 안 되게 만들겠다는 의도다.

정부는 10일 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화방안'을 발표하고 인증 대상, 심사 방식, 사후관리, 심사 품질까지 전면 개편에 나선다고 밝혔다.

핵심은 '누구나 받는 인증'에서 '위험도 따라 다르게 관리하는 인증'으로 바꾸겠다는 거다. 앞으로 이동통신사, 데이터센터, 대규모 개인정보 처리 기업 등은 ISMS-P 인증이 의무화된다. 지금까지는 자율이라서, 규모 크고 위험한 기업도 느슨하게 운영되던 구조였다.

인증 체계도 3단계로 나뉜다. 파급력이 큰 기업은 '강화인증'을 적용받고, 기준과 심사가 훨씬 빡세진다. 이제 "서류는 완벽했습니다" 같은 변명은 점점 통하기 어려워질 예정.

심사 방식도 바뀐다. 그동안 종이로 체크리스트 돌리던 수준에서 벗어나 실제 시스템을 까보는 방향으로 간다. 취약점 진단, 모의침투 테스트까지 들어간다. 말 그대로 "진짜 털어보는" 심사다.

사후관리도 강화된다. 인증 따고 끝이 아니라, 유지·갱신 전 과정에서 상시 점검이 들어간다. 사고 터진 기업은 심사 자체를 중단하고, 복구 이후 더 강도 높은 재심사를 받는다. 심각한 결함이 발견되면 인증 취소도 가능하다.

심사기관과 심사원도 관리 대상이 된다. 심사 품질 평가를 도입하고, 결과를 다음 심사 배분에 반영한다. 능력 부족한 심사기관은 자연스럽게 시장에서 밀려나게 되는 구조다.

정부는 하반기부터 사후관리 강화 조치를 먼저 시행하고, 의무화 및 차등 인증 체계는 2027년부터 단계 적용할 계획이다.