 |
| 쿠팡 본사 전경. 임세준 기자 |
[헤럴드경제=고재우 기자] “정해진 시간 안에 ‘정보보호 및 개인정보보보호 관리체계 인증(ISMS-P)’ 서면으로 심사하다 보니 실제와 동떨어진 게 많다.” (쿠팡 긴급 현안질의 발언 중)
국내 이커머스 1위 업체 쿠팡이 정보보호 및 개인정보보보호 관리체계 인증(ISMS-P)을 받은 것으로 알려진 가운데, 개인정보 유출 등을 겪고도 정부로부터 ISMS-P 인증 취소를 받은 사례는 단 한 차례도 없는 것으로 확인됐다. ‘ISMS-P’는 개인정보보호 조치가 적합하게 이뤄지고 있는 기업에게 정부가 부여하는 인증이다.
올해만 해도 굵직한 사이버 침해 및 개인정보 유출 사고가 이어지고 있는데, 정부가 기업들의 ISMS-P 인증 참여만을 고려해 사실상 인증제도 ‘관리’에 손을 놓고 있다는 지적이다. ISMS-P 인증을 받은 기업도 연달아 개인정보 유출 사고가 이어지면서 인증 ‘실효성’이 떨어진다는 목소리도 커지고 있다.
 |
| 한국인터넷진흥원(KISA) 홈페이지 내 ‘정보보호 및 개인정보보보호 관리체계 인증(ISMS-P)’ 페이지. [KISA 캡처] |
2일 정부 관계자는 헤럴드경제와 통화에서 “ISMS-P 인증 취소 전례는 없다”며 “자율 인증이다 보니 활성화를 유도하기 위한 차원이고, 패널티 수준도 과태료에 불과하다”고 밝혔다.
ISMS-P는 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합한 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.
문제는 ISMS-P 제도 운영이 사실상 참여 활성화에 맞춰져 있다 보니 ‘인증 취소’를 받은 기업이 단 한 곳도 없을 정도로 유명무실하게 운영되고 있다는 것이다. 개인정보보호법, 정보통신망법상 인증 취소 요건이 있으나, 적용된 사례는 없었다. 벌칙 조항도 ‘3000만원 이하’ 과태료에 불과하다.
실제로 지난 2020년부터 이달까지 ISMS-P 인증기업 27곳에서 34건의 개인정보 유출이 있었다. 최근 대규모 해킹사고를 겪은 SK텔레콤, KT, 예스24, 롯데카드 모두 ISMS-P 인증기업이다. 쿠팡도 2021년과 지난해 ISMS-P 인증을 받았다. ISMS-P 인증에 대한 관리가 되고 있지 않다는 방증이다.
이 때문에 실효성 있는 ISMS-P 운영에 대한 요구가 커지고 있다. ISMS-P 인증 취소에 더해 현장 실사 등을 통해 애초부터 인증 자체를 받기 어렵게 해야 한다는 것이다. 현재 ISMS-P 인증은 서류 심사에만 머무르고 있다.
 |
| 국내 이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 2일 서울 시내 한 쿠팡 물류센터의 모습. [연합] |
황석진 동국대 정보보호대학원 교수는 “ISMS-P 인증을 받았음에도 해킹 등 사태가 발생하는 것은 앞뒤가 맞지 않는 결과”라며 “ISMS-P가 형식적인 요건에 그치고 있다”고 비판했다.
이어 “서류 심사 등으로만 볼 게 아니라 현장 실사를 나가서 확인 하는 등 취약점이 있다면 애초에 ISMS-P 인증 자체를 해주지 말아야 한다”고 덧붙였다.
이에 대해 정부 관계자는 “KT 등 조사 결과가 나오면 인증 취소 관련해 적극적으로 검토할 예정”이라고 밝혔다.
