쿠팡 정보 유출 사고로 대두한 ‘ISMS-P 인증’ 무용론

쿠팡의 대규모 개인정보 유출 사고를 계기로 기업의 정보보호 역량을 평가하는 국가 인증제도 ‘ISMS-P(정보보호 및 개인정보 보호 관리 체계)’를 둘러싼 실효성 논란이 커지고 있다. SK텔레콤, KT, 롯데카드 등 인증을 받은 기업에서도 유사한 사고가 반복되면서 인증의 신뢰성에 의문이 제기되는 상황이다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다.
서울 송파구 쿠팡 본사. 연합 인증 대상 기업은 조직 관리, 기술적 보호 조치, 접근 권한 통제, 로그 관리 등 101개 항목을 충족해야 한다. 인증 유효 기간은 3년이고 1년에 한 번씩 사후 심사를 진행한다.

그러나 인증 취득과 실제 보안 수준 사이에 괴리가 크다는 지적이 제기된다. SK텔레콤·KT·롯데카드·예스24·넷마블·쿠팡 등 인증 보유 기업에서도 유출 사고가 잇따랐기 때문이다. 1일 사회민주당 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 개인정보위가 장관급 기구로 격상된 2020년 ISMS-P 인증 기업 27곳에서 34건의 개인정보 유출 사고가 발생했다.

인증 심사제도에 구조적 문제가 원인으로 꼽힌다. 현 심사가 특정 시점 보안 상태만을 점검하는 ‘스냅샷’ 방식이기 때문이다. 심사 기간에만 보안 수준을 끌어올리더라도 이후 새로 발생하는 위협에는 대응이 미흡할 수 있다는 지적이 나온다.

권헌영 고려대(정보보호대학원) 교수는 “ISMS-P 인증 대상 기업이 101개 항목을 제대로 충족하는지 확인할 수 있는 체계를 갖출 필요가 있다”며 “현실에선 실질심사가 이뤄지는지 형식적 심사에만 그치는지 파악하기 어렵다”고 지적했다.

정부도 최근 ISMS-P 인증제도를 강화할 방침을 밝혔다. 송경희 개인정보위 위원장은 5일 서울 종로구 정부서울청사에서 열린 출입기자단 정례 브리핑에서 “(인증 후) 모의해킹 등 사후심사도 강화해 인증 취소까지 가능하도록 실효성을 높이겠다”고 한 바 있다.

다만 인증제도 강화로는 근본적인 문제를 해결하는 데 한계가 있다는 지적도 있다. 주요 선진국처럼 산업별 규제 강화나 징벌적 손해배상을 강화해야 한다는 주장이 나온다. 미국은 포괄적인 개인정보보호법이 없지만 연방거래위원회(FTC)와 산업별 규제가 강력한 집행력을 갖는다.

FTC는 2019년 페이스북(현 메타)에 대해 케임브리지 애널리티카 스캔들 등 개인정보보호 위반을 이유로 50억달러 규모의 과징금을 부과했다. 이는 페이스북의 2018년 매출의 약 9%에 해당하는 규모다. 메타는 이후 미국 당국을 포함한 피해 이용자들에게도 7억2500만 달러(약 1조 원)에 이르는 합의금과 법적 비용을 추가로 치렀다.

권 교수는 “기업에 피해자에게 충분한 손해배상을 하는 구조가 마련돼야, 실질적인 보안투자로 이어질 수 있다”고 강조했다.

김세희 기자?saehee0127@segye.com