한국인터넷진흥원(KISA)이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 심사에 AI를 적용하는 방안을 검토하기 위해 ‘차세대 ISMS-P 시스템 고도화 정보화전략계획 수립’ 용역을 최근 발주했다. 이번 용역은 현행 ISMS-P 시스템의 업무·기능·데이터 구조를 분석하고, 인증 기업과 심사 기관·심사원 등 이해관계자의 요구사항을 수렴하는 것을 목적으로 한다. 미국·유럽 등 해외 유사 인증제도와의 비교 분석을 통해 ISMS-P 체계 보완 방안도 검토한다.
특히 AI 적용을 통한 심사 자동화 구축 방안이 핵심 과제로 포함됐다. 공공부문 인공지능 전환(AX) 흐름에 맞춰 운영 중인 ISMS-P 시스템에 AI를 적용할 수 있는지 타당성을 살피고, 차세대 시스템 고도화 과제에 반영하겠다는 것이다. AI가 실제 도입될 경우 서면 증적 검토 같은 반복적인 심사 업무를 자동화해 심사 인력이 현장 검증과 기술 판단에 집중할 수 있는 환경을 조성할 수 있다는 기대감이 있다. 기존 ISMS-P 심사는 서면 증적과 현장 확인 중심으로 7일가량 소요됐으나, 제도 개편 이후에는 12일 수준으로 늘어날 전망이며, AI 자동화가 이 기간을 다시 단축할 수 있다.
KISA는 이번 용역 결과를 바탕으로 2027년 차세대 ISMS-P 시스템 고도화 용역을 별도 발주할 계획이다. KISA 관계자는 AI 기술의 구체적 적용 범위와 도입 시점은 연구 결과에 따라 정해질 것이라고 밝혔다. ISMS-P 인증은 일정 요건을 충족하는 정보 서비스 기업·기관이 취득해야 하는 국내 핵심 보안 인증이다. AI 자동화가 도입되면 심사 효율화와 함께 심사 품질 일관성 향상도 기대되지만, 보안 특성상 자동화의 범위와 사람 판단과의 역할 분담을 어떻게 설정하느냐가 관건이 될 전망이다.
