3370만명 털렸는데 '보안 우수'?…쿠팡, 사상 첫 정부 보안 인증 박탈되나

[서울=뉴시스]윤정민 기자 = 3370만명의 개인정보 유출 사고를 낸 쿠팡이 정부가 시행하는 개인정보보호통합인증(ISMS-P)을 박탈당하는 첫 번째 사례가 될지 주목된다.

이상중 한국인터넷진흥원(KISA) 원장은 지난 3일 국회 정무위원회 쿠팡 침해사고 관련 현안 질의에서 인증 취소 여부를 검토하겠다고 밝혔다.

ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.

과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 수준의 보안 관리 체계 인증이다. 이 인증을 받은 기업은 정부로부터 고객 정보를 안전하게 보호할 수 있는 최소한의 보안 관리 체계를 갖췄다고 공식적으로 공인받은 셈이 된다.

현재까지 ISMS-P 인증을 받은 기업은 263곳. 하지만 이 인증을 받은 기업 중 쿠팡, SK텔레콤, KT, 롯데카드 등 27곳에서 최근 5년간 33건의 개인정보 유출 사고가 발생했다.

이에 이날 정무위에서는 쿠팡의 보안 관리 실태에 대한 질타와 함께 'ISMS-P 무용론'에 대한 정부 지적도 이어졌다. 쿠팡은 이 인증을 보유하고 있었으나 정작 가장 기초적인 보안 수칙인 퇴사자 접근 권한 회수를 지키지 않은 것으로 드러났기 때문이다. 정부가 인증 심사를 소홀히 한 것 아니냐는 지적이다.

김용만 더불어민주당 의원은 퇴직자가 패스키를 통해 접근했으므로 명백한 인증 기준 위반이 아니냐고 물었다. 이에 대해 이 원장은 "그렇게 보인다"며 사실상 인증 기준 미달을 인정했다. 이어 김 의원은 "ISMS-P 인증 기업 모두 (보안 관리에 이상 없는지) 전수조사해야 한다"고 주장했다.

현행 과기정통부·개인정보위 공동 고시에 따르면 인증 기준에 미달하거나 법 위반 등 중대한 사유가 발생할 경우 ISMS-P 인증을 취소할 수 있다. 하지만 제도가 도입된 이래 실제로 인증이 취소된 사례는 단 한 건도 없다.

한창민 사회민주당 의원은 "이번 사안은 중대하고 인증 기준 원칙을 지키지 않은 경우인데 사실관계로만 볼 때 당연히 취소해야 한다"고 주장했다. 이 원장은 "그렇게 보인다"고 답변했다. 정부가 쿠팡의 인증 취소 가능성을 공식적인 자리에서 인정한 것으로 해석된다.

그동안 정부가 인증 기업에 대해 형식적인 갱신 심사만 진행했을 뿐 사후 관리에 소홀했다는 비판을 피하기 어렵게 됐다.

특히 ISMS-P 인증이 기업 면죄부로 악용되고 있다는 점도 지적 사항으로 올랐다. 현행법상 ISMS-P 인증을 보유한 기업은 개인정보 유출 사고가 발생해 과징금을 부과받을 때 일부 감경할 수 있기 때문이다.

한 의원에 따르면 지난해 말 쿠팡이 판매자 전용 시스템 '윙' 내 주문자·수취인 2만2000여명 개인정보 노출사고 당시 개인정보위가 산정한 과징금 기준액은 약 39억4000만원이었다. 이후 조정·감정 절차를 거쳐 최종 부과액은 13억1000만원으로 줄었는데 ISMS-P 인증 보유가 과징금 산정 기준이 됐다.

한 의원은 "(ISMS-P 인증을) 홍보 수단으로 썼는데도 불구하고 문제가 발생했는데 과징금 경감 사유로 하는 건 말이 되지 않는다"며 고시 개정을 촉구했다.

이처럼 인증 제도의 허점과 솜방망이 처벌에 대한 비판이 거세지자 정부도 과징금 감경 요건을 엄격히 적용하고 인증 사후 관리를 대폭 강화하겠다며 제도 수술을 예고했다.

송경희 개인정보위원장도 향후 인증을 받은 후 1년마다 모의 해킹 등을 통해 실질적인 운영 여부를 검사하고 이를 지키지 못하는 기업·기관에 대해서는 인증을 취소하겠다는 개선 계획을 밝혔다.

아울러 "이달 ISMS-P 개선 태스크포스(TF)를 마련해 개선 방안을 마련하고 있다"며 "사고가 난 기업에 대해 이달 현장 조사를 나갈 예정"이라고 전했다.


◎공감언론 뉴시스 [email protected]