ISMS-P 인증 준비, 과태료 처분에 대해 꼭 알아야 할 사항

ISMS-P 인증을 준비하면서 꼭 알아야 할 사항이 있습니다. ISMS-P 인증 의무 기업이 (정보통신서비스  관련 매출 100억 이상) 최초 인증을 하지 않았다면 어떤 처분을 받을까요?

ISMS 인증 의무 대상자는 최초 해당된 해의 다음 해 8월 31일까지 인증을 받아야 하며(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제19조 제4항), 만약 인증 의무 대상자가 ISMS 인증을 받지 않을 경우 3,000만 원 이하의 과태료가 부과됩니다(정보통신망법 제76조 제1항 제6의 5호).

 

ISMS-P 인증 의무 기업의 기준

맞습니다. 최초 ISMS-P 인증 의무 기업은 정보통신업 관련 매출이 100억 이상이 되면 과학기술정보통신부가 국세청에 신고된 세무 관련 신고액을 근거로 대상 기업에 공식 공문을 보내게 됩니다.

저가 재직 중인 회사도 최초로  매출이 100억을 넘어섰을 때 ISMS-P 인증 의무대상 기업이 되었음을 사전에 인지하게 되었고 그렇게 몇 해가 지나자 공문을 받게 되었습니다.

정보통신서비스 (인터넷 쇼핑몰) 관련 매출은 자사몰을 통한 매출이 중심이며 중개쇼핑몰(쿠팡, 네이버쇼핑, 옥션 등)에 입점하여 일으킨 매출은 제외됩니다.

판매유형	정보통신서비스 부분에 해당하는 매출액
자체 쇼핑몰 운영	자체 쇼핑몰을 통한 제품 판매액
중개 쇼핑몰 이용	해당사항 없음
중개 쇼핑몰 운영	판매 중개수수료 + 입점료(해당하는 경우)
자체 쇼핑몰 운영 + 중개 쇼핑몰 이용	자체 쇼핑몰을 통한 제품 판매액
중개  쇼핑몰 운영 + 자체 쇼핑몰 운영	판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액
포인트 쇼핑몰	가맹점 수수료 + 고객 수수료 + 판매 수수료 + 기프티콘

저희 회사도 자사몰괴 중개쇼핑몰 이용 매출액이 함께 집계되어 100억이 넘었는데요. 공문이 온 시점은 자사몰 매출액이 100억이 넘어선 시점인 것 같습니다.

 

ISMS-P 인증 신청은 어제 해야 할까?

그러면, ISMS-P 인증신청은 최초 인증 공문을 받은 다음 해 8월 31일까지 인증심사위원회를 통과해야 하는데요. 이 시기를 넘기지 않고 과태료를 맞지 않으려면 최소한 언제쯤 신청하는 게 맞을까요?

- 정보보호 관리체계 구축 후 2개월 이상 운영
- 인증신청 및 인증심사팀 (심사원공지) 모집 - 2개월
- 사전심사 (심사팀장) - 1일
- 인증심사 (심사팀장 1인, 심사위원 O인) - 5~7일
- 결함조치 및 이행점검 - 최대 100일
- 인증심사 위원회(매월 1, 셋째 주) 개최 및 인증완료 - 30일

8월 31일 이전에 인증위원회 인증이 통과되려면 최소한 여유 있게 1월에서 늦어도 2월에는 인증신청이 들어가야 합니다.

중요한 것은 이미 기술적/관리적 취약점 점검과 위험평가가 모두 끝난 상태여야 한다는 겁니다. 저희는 KISA에서 운영하는 중소기업 담당자를 위한 교육에서 3월 초에 신청하면 된다는 이야기를 듣고 그에 맞춰 스케줄을 짰는데요. 아무래도 기술적 취약점 관련 사전조치기간이 길어지면서 인증신청을 한 뒤에도 취약점 점검과 내부감사가 끝나지 않아서 심사팀장의 사전심사도 한 달 정도 늦어지고 인증심사도 두 달 뒤에 이루어져 결과적으로 결함조치하는 기간까지 100일 이상 쓰게 되어 인증 의무 기한인 8월 31일 훌쩍 넘겨버렸답니다.

안타깝게도 최근에 과기부로부터 과태료 사전 공문을 받게 되었고요. 의견제출서라는 게 있어서 저희가 어렵게 내부직원을 통해서 인증을 취득했다는 것을 담당자에게 설득하려 했으나 결국 과태료 부과 명령을 받게 되었습니다.

다행히 인증 의무 기한인 8월 31일 넘겼지만 뒤에라도 인증을 받았다는 사유로 50% 감경액인 1500만 원 과태료를 받게 되었습니다. 과태료는 대부분 국세청을 통해 국가 예산에 귀속되기 때문에 동일하게 ‘질서위반행위규제법‘의 적용을 받게 되는데요. 사전공문을 받고 2주 정도 안에 시간을 주고 의견제출서를 제출하거나 자진납부의사를 전달하면 과태료 예정인 금액에서 최대 20% 할인하거나 6개월 분할납부가 가능합니다. 저희는 일시납부로 1500만 원에서 20% 할인된 1200만 원을 일시불로 납부하는 것으로 마무리하게 되었습니다.

전 직원이 애쓰고 힘쓴 것에 비해 1500만 원이란 금액은 적은 금액은 아니지만 이것을 통해서 비싼 경험을 하게 된 것 같습니다 혹시라도 이런 인증 관련 이슈가 다시 생긴다고 하면 좀 더 신중하게 그리고 신속하게 회사에 누가 되지 않도록 해야겠다는 다짐을 해보게 됩니다.

 

결론

1. 쇼핑몰 관련 매출이 100억 이상인 경우 중개 쇼핑몰 이용 시 매출은 포함되지 않습니다. 즉, 100억이 넘는다고 무조건 ISMS인증대상기업이 되는 것은 아닙니다. 자사 쇼핑몰 운영(예, 카페 24, 가비아 등 쇼핑몰 솔루션을 활용한 자사 쇼핑몰을 운영)에 대한 매출액이 최소 100억은 넘어야 ISMS 인증대상기업이 됩니다. 

2. 과태료를 지불하지 않으려면 최소한 인증마감 연도 2월에는 인증신청서가 접수되어야 합니다. ISMS 인증을 받아도 인증마감년도 8월 31일을 넘기면 과태료 대상이 됩니다.