【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]보안인증 7개면 뭐하나…“인증제도 실효성 의문”

온카뱅크관리자

2025-12-03 11:27:31

<div id="layerTranslateNotice" style="display:none;"></div> ISMS-P 등 국내외 보안인증 다수 유출사고에도 정보 ‘인증취소’ 0건 개보위, 쿠팡에 ‘노출→유출’ 조치 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="PuVsYJQ9Hv">
 <figure class="figure_frm origin_fig" contents-hash="25a812e46917e5d6e0caabf773ee6dcc069fcf62b276d4e45cc97b55506efd9c" dmcf-pid="Q7fOGix2YS" dmcf-ptype="figure">
 <img alt="박대준 쿠팡 대표이사가 2일 서울 여의도 국회 과학기술정보방송통신위원회 전체회의에서 대국민 사과를 하고 있다. 임세준 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/03/ned/20251203112347212iubt.jpg" data-org-width="1280" dmcf-mid="8ej39Cwa1y" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/03/ned/20251203112347212iubt.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 박대준 쿠팡 대표이사가 2일 서울 여의도 국회 과학기술정보방송통신위원회 전체회의에서 대국민 사과를 하고 있다. 임세준 기자
 </figcaption>
 </figure>
 대규모 개인정보 유출 사태가 발생한 쿠팡이 국내외 주요 보안·프라이버시 인증을 다수 보유한 것으로 나타났다. 그럼에도 퇴사한 직원의 개인정보 유출을 막지 못한 것으로 드러나면서 인증제도의 실효성에 의문이 제기된다.
 더욱이 쿠팡처럼 개인정보 유출 사고를 내고도 정부의 정보보호 관리체계 ‘인증(ISMS-P)’ 취소를 받은 사례는 단 한 차례도 없는 것으로 드러났다. 올해만 해도 굵직한 사이버 침해 및 개인정보 유출 사고가 이어지고 있는데, 정부가 사실상 인증제도 ‘관리’에 손을 놓고 있다는 지적이다.
 ▶역대 최악 개인정보유출 쿠팡, 보안인증 7개나 받았다=3일 쿠팡이 자사 프라이버시센터 홈페이지에 공개한 자료에 따르면 회사는 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 ISO/IEC 27001(정보보호경영시스템)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계), APEC·Global CBPR, PCI DSS, ePrivacy(프라이버시) 등 7개의 국내외 보안·프라이버시 인증을 보유했다.
 대표적으로 ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준이다. 약 90개 항목에 대한 심사를 통과해야 인증을 받을 수 있다.
 다수 인증을 갖춘 쿠팡이 대규모 유출을 막지 못한 것을 두고 관리 부실에 따른 ‘인재(人災)’란 지적이 나온다. 국회 과학기술정보방송통신위원회의 전날(2일) 현안 질의에서 지목된 핵심 용의자는 인증 시스템 개발 업무에 종사했던 중국 국적의 퇴사자 A씨다. 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 “A씨 퇴사 이후 접근 권한을 말소했다“고 밝혔으나, 인증에 쓰이는 ‘프라이빗 서명키’가 유출된 경로를 명확히 밝히지 않았다.
 전문가들은 인증 제도가 기업의 보안 체계 성숙도를 일정 수준 보증하는 역할을 하지만, 내부자 통제·접근권한 관리 같은 실질적 리스크는 별도의 관리 체계를 요구한다고 지적한다. 인증 취득을 통해 ‘보안 수준을 충족했다’는 외형을 갖추는 것과 실제 사고를 막는 것은 별개라는 것이다.
 쿠팡처럼 고위험 개인정보를 대규모로 처리하는 기업의 경우 접근권한 부여·회수 절차, 상시 로그 점검, 이상행위 탐지 등 운영 단계의 내부 통제가 사고 예방의 핵심이라는 분석도 나온다.
 전날 과방위 현안 질의에서도 “ISMS 제도 자체에 대한 종합적인 점검을 통해 대책이 마련돼야 한다(조인철 더불어민주당 의원)” 등 관련 지적이 쏟아졌다. 이정렬 개인정보보호위원회 부위원장은 “내부 연구반을 구성해 제도 개선을 막바지 단계에서 논의 중”이라며 “조만간 전면적인 개편 방안을 보고드리겠다”고 말했다.
 <figure class="figure_frm origin_fig" contents-hash="258ea98c5022060ba7670e7fc7375cfced8529ef284c6ef233b70a1b352b645b" dmcf-pid="54dYpkgR1w" dmcf-ptype="figure">
 <img alt="쿠팡이 고객들에게 보낸 개인정보 노출 통지 안내문. 임세준 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/03/ned/20251203112347552ojik.jpg" data-org-width="1280" dmcf-mid="6VzchP2uXT" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/03/ned/20251203112347552ojik.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 쿠팡이 고객들에게 보낸 개인정보 노출 통지 안내문. 임세준 기자
 </figcaption>
 </figure>
 ▶유출사고 내고도…정보 ‘인증 취소’는 0건=정부의 인증 관리에도 허점이 드러났다. 정부가 기업에 ‘ISMS-P’ 인증을 부여한 후, 이를 취소한 사례는 한 차례도 없었던 것으로 나타났다.
 정부 인증을 받고도 유출사고를 낸 것도 모자라, 유출 사고 이후에도 ‘관리 체계를 잘 준수하고 있다’는 인증을 유지하고 있는 셈이다. 정부 관계자는 “ISMS-P 인증 취소 전례는 없다”며 “자율 인증이다 보니 활성화를 유도하기 위한 차원이고, 패널티 수준도 과태료에 불과하다”고 밝혔다.
 업계에선 ISMS-P 제도 운영이 사실상 참여 활성화에 맞춰져 있다 보니 ‘인증 취소’를 받은 기업이 단 한 곳도 없을 정도로 유명무실하게 운영되고 있다는 지적이 터져 나온다. 개인정보보호법, 정보통신망법상 인증 취소 요건이 있으나, 적용된 사례는 없었다. 벌칙 조항도 ‘3000만원 이하’ 과태료에 불과하다.
 실제로 지난 2020년부터 이달까지 ISMS-P 인증기업 27곳에서 34건의 개인정보 유출이 있었다. 최근 대규모 해킹사고를 겪은 SK텔레콤, KT, 예스24, 롯데카드 모두 ISMS-P 인증기업이다. 쿠팡도 2021년과 지난해 ISMS-P 인증을 받았다. ISMS-P 인증에 대한 관리가 되고 있지 않다는 방증이다.
 이 때문에 실효성 있는 ISMS-P 운영에 대한 요구가 커지고 있다. 황석진 동국대 정보보호대학원 교수는 “ISMS-P 인증을 받았음에도 해킹 등 사태가 발생하는 것은 앞뒤가 맞지 않는 결과”라며 “ISMS-P가 형식적인 요건에 그치고 있다”고 비판했다.
 이어 “서류 심사 등으로만 볼 게 아니라 현장 실사를 나가서 확인 하는 등 취약점이 있다면 애초에 ISMS-P 인증 자체를 해주지 말아야 한다”고 덧붙였다.
 이에 대해 정부 관계자는 “KT 등 조사 결과가 나오면 인증 취소 관련해 적극적으로 검토할 예정”이라고 밝혔다.
 ▶개보위, “노출→유출통지 수정하라”=개인정보보호위원회는 이날 쿠팡 개인정보 유출사고와 관련해 긴급 전체회의를 열고 대응상황을 점검했다.
 개보위는 점검결과, 쿠팡이 정보주체에게 개인정보 ‘노출’ 통지라는 제목으로 개인정보 일부 노출사고 발생이라고 안내하였을 뿐 ‘유출’ 사실을 통지하지 않다고 확인했다. 관련 내용을 홈페이지에도 단기간(1~2일) 공지했으며, 유출 항목의 일부(공동현관 비밀번호 등)를 누락하는 등 국민의 혼선을 초래하고 있는 사실을 확인했다.
 개보위는 국민 혼선이 없도록 개인정보 ‘노출 통지’를 ‘유출 통지’로 수정하고 유출 항목을 빠짐없이 반영해 재통지하라고 조치했다.
 또 홈페이지 초기 화면 또는 팝업창 등 통해 일정기간 이상 유출 내용을 공지하고, 정보 유출로 인한 이용자의 추가적인 피해 예방 요령 등을 적극적으로 안내하라고 조치했다.
 개보위는 쿠팡에 7일 이내에 조치결과를 제출하도록 했으며, 이행상황을 지속적으로 점검해 국민 혼란과 불안 해소에 집중할 예정이다.
 박세정·고재우·김진 기자
 </section> 
 </div> 
 Copyright © 헤럴드경제. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기