SKT·KT·롯데카드도 취득… 침해사고 막지 못해
유명무실 정부 제도, 현장심사·점검체계 보완 추진
대형IT '고위험산업군' 지정, 강화된 기준 적용키로

쿠팡 개인정보 유출 사례/그래픽=김지영

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 2차례나 취득하고도 네 번의 개인정보 유출사고가 발생해 정부제도의 실효성 논란이 제기된다.

이에 과학기술정보통신부는 네이버·카카오·쿠팡 등 대형 IT(정보기술)플랫폼사업자를 '고위험산업군'으로 지정해 강화된 ISMS-P 기준을 적용키로 했다. 개인정보보호위원회는 이달 중 구축이 완료되는 포렌식랩을 쿠팡사태 조사에 활용해 원인규명 및 증거확보 역량을 높인다.

1일 정부에 따르면 과기정통부는 IT플랫폼과 통신·인프라사업자 등 고위험산업군에 특화된 ISMS-P 점검항목을 개발하고 있다. 침해사고 발생시 국민생활에 파급력이 큰 ICT(정보통신기술)사업자를 특별관리하겠다는 것이다. IT플랫폼 적용대상을 어떻게 할지 기준을 논의 중이지만 네이버, 카카오, 쿠팡은 포함될 가능성이 높다. 과기정통부 관계자는 "현재 연구반에서 점검항목·방식을 구체화하고 있다"며 "내년 상반기 해당 사업자에 인증기준을 배포해 시행할 예정"이라고 말했다.

개인정보위는 쿠팡 조사에 자체 포렌식랩을 처음으로 활용한다. 포렌식랩은 개인정보 유출에 특화해 디지털 증거를 수집·분석·보전하는 시설이다. 기업이 은폐·조작한 증거를 밝히는데 도움이 된다. 개인정보위는 그동안 한국인터넷진흥원(KISA)의 포렌식랩을 빌려 썼는데 이는 해킹원인을 분석하는 기능 중심이어서 한계가 따랐다. 이번 포렌식랩으로 쿠팡의 개인정보 유출조사에 대한 강도를 높인다는 목표다.

국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보위로부터 제출받은 자료에 따르면 2020년부터 이달까지 ISMS-P 인증기업 27곳에서 34건의 개인정보 유출이 있었다. 최근 대규모 해킹사고를 겪은 SK텔레콤·KT·예스24·롯데카드 모두 ISMS-P 인증기업이다. 쿠팡도 2021년과 2024년 ISMS-P 인증을 받았지만 침해사고를 막지 못했다.

ISMS-P 인증을 받으려면 총 101개 항목에서 '적합' 판정을 받아야 하는데 대부분 서류·체크리스트 중심의 심사여서 형식적이라는 지적이 잇따랐다. 또 ISMS-P 인증은 3년마다 갱신하는데 심사 당시엔 인증기준에 부합해도 시간이 지나면 보안허점이 발견될 수 있다. 개인정보보호법에 따르면 인증기준 미달 및 중대한 법령 위반시 인증을 취소할 수 있지만 해당 사례가 전무해 기업들의 경각심이 낮다는 비판도 나왔다. 이에 과기정통부와 개인정보위는 지난 10월에 발표한 '범부처 정보보호 종합대책'에서 △서류→현장심사 중심으로 전환 △중대결함이 발생하는 경우 인증취소 △모의해킹·화이트해커를 이용한 상시 취약점 점검체계 구축 등 ISMS-P제도 개선방안을 발표했다. 인증기업을 대상으로 매년 진행하는 사후심사도 점검인력과 기간을 확대하는 방안을 준비 중이다.

개인정보위 관계자는 "현재 현장심사 항목을 구성 중이고 내년부터 개선된 ISMS-P 인증이 시행될 것"이라며 "인증기준에 미달하거나 중대한 법령위반이 있으면 인증을 취소할 수 있는데 쿠팡의 경우 조사결과에 따라 취소 가능성도 있다"고 말했다.

윤지혜 기자 yoonjie@mt.co.kr 이찬종 기자 coldbell@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.