<이미지를 클릭하시면 크게 보실 수 있습니다>

'보안 최후 보루'로 여겨졌던 ISMS-P(정보보호 및 개인정보 보호 관리 체계) 인증이 대형 정보 유출 사고 앞에서 무력함을 드러내면서, 정부가 뒤늦게 제도 전면 수술에 나섰다.

쿠팡, SK텔레콤, KT, 롯데카드 등 까다로운 심사를 통과해 인증 마크를 획득한 기업들에서조차 대규모 개인정보 유출 사고가 반복되면서다. 결국 "돈만 내면 따는 면피용 간판 아니냐"는 비판에 직면하자, 정부가 뒤늦게 제도 전면 개편이라는 칼을 빼 들었다.

7일 <메트로경제 신문> 취재 결과, 정부는 지난 6일 송경희 개인정보위 부위원장과 류제명 과기정통부 제2차관 주재로 대책 회의를 열고 칼질을 시작했다. 이번 개정의 핵심은 '사후 처벌 강화'와 '진입 장벽 상향'이다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 제도로, 기업이 101개에 달하는 엄격한 보안 항목을 충족해야만 부여된다. 그러나 현실은 달랐다. 사회민주당 한창민 의원실 자료에 따르면 2020년 이후 ISMS-P 인증을 유지하고 있던 기업 27곳에서 총 34건의 개인정보 유출 사고가 터졌다.

권헌영 고려대학교 정보보호대학원 교수는 "현실에서는 실질 심사보다 형식적 심사에 그치는지 파악하기 어렵다"며 제도의 허점을 꼬집었다.

이에 따라 과학기술정보통신부와 개인정보보호위원회는 ISMS 및 ISMS-P 인증의 실효성 강화를 위해 관련 제도를 전면 개편하기로 했다. 정부 개편안의 목표는 '이름뿐인 인증'이 아니라 기업의 보안 능력을 확실하게 끌어올리는 제도로 기능을 정상화하는 데 있다. 그간 기업들이 인증을 마케팅 수단으로만 활용하고 실제 보안 투자에는 소홀했다는 '인증 무용론'을 불식시키겠다는 의지다.

우선 '무늬만 인증'인 기업의 자격을 박탈하는 고강도 처방이 내려진다. 기존에는 사고가 발생해도 인증이 유지되는 경우가 많았으나, 앞으로는 유출 사고 발생 시 즉각적인 '특별 사후 심사'가 진행된다. 심사 인력과 기간을 두 배로 늘려 진행하는 이 과정에서 중대 결함이 확인될 경우, 인증위원회 심의·의결을 거쳐 인증을 취소한다. 사실상 '원스트라이크 아웃' 제도가 도입되는 셈이다. 국회에서 '3370만 명의 개인정보를 유출한 쿠팡이 첫 인증 취소 사례가 되어야 한다'는 지적이 잇따르고 있어, 이번 제도 개선이 실제 기업 퇴출로 이어질지 주목된다.

심사 방식도 현장 중심으로 대폭 바뀐다. 그동안 서류와 샘플 점검 위주였던 본심사는 핵심 시스템에 대한 실증형 검사로 전환된다. 진입 장벽도 높아진다. 정부는 예비심사 단계에서부터 핵심 항목을 우선 검증하고, 기준 미충족 시 인증 신청 자체를 반려하기로 했다. 특히 과거 유출 사고 이력이 있거나 위험도가 높은 기업은 예비 심사 단계부터 취약점 진단과 모의 해킹(침투 훈련) 등 고강도 기술 심사를 거쳐야 한다.

아울러 정부는 대형 온라인 플랫폼이나 통신사, 주요 공공시스템 등 국민 생활과 밀접한 개인정보처리시스템에 대해 ISMS 및 ISMS-P 인증을 의무화하는 개인정보보호법·정보통신망법 개정도 추진한다. 자율에 맡겼던 영역을 법적 의무로 강제해 관리 사각지대를 없애겠다는 취지다.

양청삼 개인정보보호위원회 개인정보정책국장은 "ISMS, ISMS-P 인증을 받은 기업 중 유출 사고가 일어난 곳은 약 10%로 인증이 '아무 의미가 없다'고 볼 수는 없다"면서도 "제도의 순기능을 잘 살려 국민에게 신뢰받는 제도로 만들겠다"고 설명했다.

정부는 내년 1분기 중 관련 고시를 개정해 시행할 방침이다. 하지만 전문가들은 인증 제도 강화만으로는 기업들의 '보안 불감증'을 뿌리 뽑기 어렵다고 입을 모은다.

미국의 경우 연방거래위원회(FTC)가 페이스북(현 메타)의 개인정보 위반에 대해 연 매출의 9%에 달하는 50억 달러(약 6조5000억 원)의 과징금을 부과한 바 있다. 반면 한국은 여전히 처벌 수위가 낮아 기업들이 보안 투자보다 과태료를 내는 편을 택한다는 비판이 제기된다. 인증 취소를 넘어, 징벌적 손해배상제도 강화 등 실질적인 금전적 타격을 줄 수 있는 구조가 마련되지 않는다면 이번 개정안 역시 '보여주기식 행정'에 그칠 수 있다는 우려가 나온다.