[디지털데일리 김보민기자] 쿠팡이 국내 최상위 보안 인증을 받았다는 이유로 정보 유출 사고에 대한 과징금을 감액받을 수 있다는 지적이 나왔다. 이와 관련해 개인정보보호위원회는 이번 사태를 엄격히 보고 과징금 등 제재안을 정하겠다는 입장을 밝혔다.

김현정 의원(더불어민주당)은 30일 서울 여의도 국회에서 열린 쿠팡 침해사고 청문회를 통해 "쿠팡이 이전에도 세 차례에 걸쳐 정보 유출이 있었는데 그때마다 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았고 자진신고했다는 이유로 개인정보위가 과징금을 감경해줬다"며 "인증 기업이라고 또 감경해줘서는 안 된다"고 밝혔다.

ISMS-P는 정보보호와 개인정보 보호를 위해 특정 기업이 갖춘 조치가 인증 기준에 적합하다는 것을 증명하는 제도다. 국내에서는 최상위 보안 인증으로 꼽힌다. 그러나 쿠팡뿐만 아니라 KT 등 주요 기업들이 해당 인증을 획득하고도 보안 사고를 내면서 해당 제도가 유명무실해졌다는 평가가 제기됐다. 과징금을 제재 수위를 낮출 수단이 될 수 있다는 지적도 나오고 있다.

이와 관련해 송경희 개인정보위 위원장은 "엄격하게 보고 있다"며 "철저한 조사를 거쳐 모든 요소를 엄격히 고려해 정할 계획"이라고 답했다. 그러면서 "최종 과징금은 위원회 심의 의결을 통해 결정된다"며 "이 과정에서 모든 요소를 고려해 논의하겠다"고 덧붙였다.

한편 개인정보위는 과학기술정보통신부와 ISMS-P 인증 제도를 개선하기 위해 대책을 마련 중이다. 개인정보위와 과기정통부는 태스크포스(TF) 방식으로 인증 기준을 도출했고, 향후 인증 취소를 적용할 계획이다. 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반 행위 중대성을 따져 인증을 취소하기로 했다. 특히 1000만명 이상 피해가 발생하거나 반복적으로 법을 위반해 사회적 영향을 낳은 경우 원칙적으로 인증을 취소할 방침이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -