【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마

온카뱅크관리자

2025-12-01 22:37:29

<div id="layerTranslateNotice" style="display:none;"></div> 이원태 전 KISA 원장 "현 제도는 허울뿐인 '보안 극장"...개보위, 현장심사 강화 등 대응책 마련중 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="9qCieP2uND">
 (지디넷코리아=김기찬 기자)롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사고가 발생하면서 정보보호·개인정보보호 관리체계(ISMS-P) 인증제 실효성 논란이 더욱 거세지고 있다. 롯데카드는 ISMS-P 인증을 획득한 지 이틀만에 침해사고를 겪었고, 쿠팡은 2021년 최초 인증 획득 후 갱신까지 마친 상태였다.
 1일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료한 상태였으나, 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사 중이다.
 쿠팡은 올해 6월 24일부터 개인정보에 외부 접근이 이뤄진 것으로 추정하고 있다. 그러나 개인정보 유출을 인지한 시점은 지난달 18일로, 현재 경찰청, 한국인터넷진흥원(KISA), 개인정보보호위원회 등에 신고를 마친 상태다.
 <figure class="figure_frm origin_fig" contents-hash="b84d9870e236d3801d2cc76108c713e135e7643d1d45f30817821e0bd9942b71" dmcf-pid="49vgnR8BkA" dmcf-ptype="figure">
 <img alt="박대준 쿠팡 대표이사가 30일 오후 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에서 참석하며 쿠팡 이용자에게 사과 발언한 뒤 고개숙여 인사하고 있다.(제공=뉴스1)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/ZDNetKorea/20251201223639182hkog.jpg" data-org-width="639" dmcf-mid="KTcOrcoMkw" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/ZDNetKorea/20251201223639182hkog.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 박대준 쿠팡 대표이사가 30일 오후 서울 종로구 정부서울청사에서 열린 쿠팡 개인정보 유출 관련 긴급 관계부처 장관회의에서 참석하며 쿠팡 이용자에게 사과 발언한 뒤 고개숙여 인사하고 있다.(제공=뉴스1)
 </figcaption>
 </figure>
 침해사고의 원인은 퇴사자 인증키 방치가 지목된다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 1일 "쿠팡 로그인 시스템 토큰 생성에 필요한 서명 정보를 담당하던 직원이 퇴사했음에도 권한을 삭제하거나 갱신하지 않고 방치해 퇴사한 내부 직원이 이를 악용한 것"이라고 분석했다.
 회사는 무단 접근 경로를 차단했으며, 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다.
 ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 보안 정책 수립 여부, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 평가한다.
 그러나 롯데카드 사태 때부터 이번 쿠팡까지 ISMS-P 인증을 받은 기업들의 잇단 침해사고가 터져 나오면서 인증 자체의 실효성에 대한 실효성 논란이 불거지고 있다. 상시적인 검증 체계도 없고 형식적인 문서적 검사에 그치는 것이 아니냐는 지적이 나오는 것이다.
 ISMS-P 인증을 주관하는 한국인터넷진흥원(KISA)의 원장을 지낸 이원태 국민대 특임교수 역시 이러한 ISMS-P 인증 체계에 대한 지적을 이번 쿠팡 사태를 계기로 자신의 SNS를 통해 남겼다. 그는 "쿠팡은 정부가 인증하는 정보보호 관리체계(ISMS-P)를 취득하고 갱신까지 한 기업이었다"며 "인증을 받고도 기본적인 퇴사자 권한 관리조차 작동하지 않았다는 사실은, 현재의 제도가 실질적 방어력보다는 문서와 절차를 맞추는 '보안 극장(Security Theater)'에 불과함을 여실히 보여준다"고 비판했다.
 이 교수는 현행 ISMS-P 등 문서 중심 인증 체계를 실시간 행위 기반 모니터링 중심으로 전환할 것을 주문했다. 
 ISMS-P 인증이 실효성 논란을 빚자 개인정보보호위원회는 이를 개선하겠다고 밝혔다. 송경희 개인정보보호위원회 위원장은 지난달 5일 서울 종로구 정부서울청사에서 열린 '출입기자단 브리핑'에서 현재 유효기간이 3년인데, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하겠다고 말했다. 또 예비심사제도 새로 도입하고
 공공기관도 ISMS-P 인증 의무화를 단계적으로 추진하겠다고 밝혔다. 현재 2억에 불과한 관련 예산도 내년에는 증액할 예정이다.
 김기찬 기자(71chan@zdnet.co.kr)
 </section> 
 </div> 
 Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기