CloudPNG

ºC

logo
IT/바이오

"ISMS-P 받고도 유출 사고"…신한카드, 관리 부실 논란 확산

신민재 기자
입력

개인정보보호 통합인증 제도가 또다시 시험대에 올랐다. 약 19만건의 개인정보 유출 사고를 일으킨 신한카드가 국내 최고 수준의 정보보호 인증으로 불리는 ISMS-P를 이미 획득한 기업으로 확인되면서다. 앞서 쿠팡 역시 같은 인증을 보유한 상태에서 대규모 유출 사고가 발생한 바 있어, 인증 제도의 실효성과 사후 관리 체계 전반을 손봐야 한다는 지적이 거세지고 있다. 특히 최근 사고들은 고도화된 외부 해킹이 아니라 내부 인력 관리 부실에서 반복적으로 시작되고 있어, 기술 투자 못지않게 조직 차원의 관리 통제가 핵심 과제로 부상하는 분위기다.

 

개인정보보호위원회에 따르면 신한카드는 24일 가맹점 대표자의 휴대전화 번호 등 개인정보 약 19만건이 유출된 것으로 추정된다며 당국에 신고했다. 유출이 발생한 시점은 2022년 3월부터 2024년 5월까지로, 상당 기간에 걸쳐 신규 가맹점 대표자의 정보가 빠져나간 것으로 조사됐다. 구체적으로 휴대전화번호 단독 18만1585건, 휴대전화번호와 성명 조합 8120건, 휴대전화번호와 성명·생년·성별이 함께 포함된 정보 2310건, 휴대전화번호와 성명·생년월일이 결합된 정보 73건 등 총 19만2088건이 신규 카드 모집 목적으로 사용됐다.

신한카드 측은 외부 침해가 아닌 일부 내부 직원의 일탈 행위라고 선을 그었다. 회사 관계자는 해킹 등 외부 침투가 아닌 내부 직원의 신규 카드 모집 과정에서 발생한 유출 사례라며, 외부로 2차 확산될 우려는 크지 않다는 입장을 내놨다. 그러나 사고 기간이 2년 이상 이어진 데다 내부에서 반출된 데이터의 이동 경로를 기업이 완전히 파악하기 어렵다는 점에서, 보안 전문가들 사이에서는 기업이 인지하지 못한 추가 유출 가능성을 배제하기 어렵다는 평가가 나온다.

 

신한카드는 개인정보보호통합인증인 ISMS-P를 취득하고, 업계 최초로 최고정보보호책임자 직책을 별도 선임하는 등 전사적 보안 체계를 구축해 왔다고 강조해 온 카드사다. ISMS-P는 기업이 개인정보와 주요 정보자산을 어떻게 수집·저장·전송·폐기하는지를 평가해 관리적·기술적·물리적 보호 조치 수준을 종합적으로 검증하는 제도다. 인증을 취득하려면 수십 개의 관리 항목을 통과해야 하는 만큼, 일종의 최고 등급 보안 관리 자격으로 받아들여져 왔다.

 

그럼에도 불구하고 이번 사고는 외부 침투가 아닌 내부자가 영업 실적을 위해 장기간에 걸쳐 개인정보를 빼돌린 전형적인 내부자 유출 사례로 드러났다. 앞서 쿠팡 역시 퇴직자 계정 관리 미흡과 내부 접근 통제 부실이 겹치면서 개인정보 유출 사고를 겪은 바 있다. 두 사례 모두 공통적으로 정보보호 인증을 갖췄음에도 불구하고, 실질적인 내부자 통제와 계정 관리, 접근 권한 검증이 허술했다는 점을 드러낸다.

 

보안 전문가들은 이번 사고의 본질을 기술 역량 부족이 아니라 관리 체계 실패로 보고 있다. 홍준호 성신여대 융합보안공학과 교수는 최근 발생하는 개인정보 유출 사고 다수가 고난도 해킹이 아닌 부실한 내부자 관리에서 비롯되고 있다며, 신한카드 역시 가장 기초적인 내부자 접근 통제와 행위 관리가 제대로 작동하지 않은 사례라고 진단했다. 기업들이 방화벽, 침입 탐지 시스템 등 솔루션 도입에는 공격적으로 투자하지만, 실제 운영 조직과 인력에 대한 관리적 보안 조치는 형식적으로 이행하는 경향이 강하다는 지적도 나왔다.

 

홍 교수는 기술적 보호 조치를 아무리 갖춰도 내부자에게 폭넓은 개인정보 접근 권한이 주어진 채 사용 목적 검증과 데이터 반출 모니터링이 상시적으로 이뤄지지 않으면 사고는 반복될 수밖에 없다고 강조했다. 결국 보안의 핵심은 예산 규모보다 조직이 개인정보를 어떻게 통제하고, 어떤 절차로 사용을 승인하며, 이상 징후를 얼마나 빨리 감지하느냐에 달려 있다는 분석이다. 기업들이 다시 기본으로 돌아가 계정 관리, 권한 부여, 로그 분석, 오프라인 반출 통제 등 내부자 리스크 관리 체계를 재점검해야 할 시점이라는 지적도 덧붙였다.

 

업계에서는 정보보호팀이나 IT 부서만의 과제가 아니라는 목소리도 커진다. 한 보안업계 관계자는 개인정보를 다루는 현업 부서, 영업 조직, 위탁사까지 포함한 전사적 관리 체계 없이는 누구 한 명의 실수나 고의만으로도 대형 사고가 발생할 수 있다고 말했다. 실제로 카드·통신·플랫폼 기업은 방대한 고객 정보를 일선 영업이 수시로 열람·활용하는 구조인 만큼, 현장 단위에서의 관리와 교육, 인센티브 체계까지 함께 손봐야 한다는 지적이 뒤따른다.

 

ISMS-P 인증 기업에서 연달아 사고가 발생하자 정부는 제도 전면 손질에 착수했다. 과학기술정보통신부와 개인정보보호위원회는 최근 관계부처 회의를 열고 제도 개선 방향을 논의했다. 우선 지금은 자율 인증에 가까운 ISMS-P를 주요 공공시스템, 통신사, 대규모 온라인 플랫폼 등 국민 생활과 밀접하게 연관된 개인정보 처리 시스템에 대해서는 의무화하는 방안을 추진한다. 일정 규모 이상 사업자는 선택이 아닌 필수 요건으로 인증을 받아야 한다는 방향성이다.

 

또 통신사와 대형 플랫폼처럼 사회적 파급력이 큰 사업자에게는 한층 강화된 인증 기준을 적용하는 방안이 검토되고 있다. 이를 위해 개인정보보호법과 정보통신망법 개정 작업도 병행될 전망이다. 기술 변화에 맞춰 인공지능, 클라우드, 빅데이터 환경에서의 개인정보 보호 요구사항을 세분화하고, 내부자 통제 항목을 별도로 강화하는 식의 개편도 논의 테이블에 오른 것으로 알려졌다.

 

심사 방식 역시 양적 점검에서 질적 검증 중심으로 바꾸겠다는 구상이다. 예비심사 단계에서 핵심 항목을 선별적으로 선검증하고, 기술 심사와 실제 운영 환경을 직접 확인하는 현장 실증 심사를 확대한다는 계획이 대표적이다. 분야별 인증위원회를 꾸려 업종 특성을 반영하고, 심사원에게 인공지능 등 신기술 교육을 제공해 심사 역량을 높이겠다는 방침도 제시됐다. 서류 위주의 체크리스트 심사에서, 실제 운영을 들여다보는 현장 중심 평가로 이동하겠다는 의미다.

 

사후 관리 강화도 핵심 축이다. 앞으로 인증 기업에서 개인정보 유출 사고가 발생하면 즉시 특별 사후 심사를 벌이고, 중대 위반이 드러나면 인증을 취소하는 방안까지 적용될 수 있다. 사고 기업에는 사후 심사 인력과 기간을 기존보다 두 배 수준으로 확대해 사고 원인과 재발 방지 대책을 면밀하게 점검한다는 방향이다. 인증 유지가 단순 연장 절차가 아닌, 실질적 관리 수준을 꾸준히 검증하는 수단으로 기능하도록 하겠다는 취지다.

 

이미 쿠팡 등 유출 사고가 발생한 인증 기업을 대상으로 개인정보위는 이달부터 현장 점검에 나섰다. 과기정통부도 정보보호 종합대책의 후속 조치로 통신, 온라인 쇼핑몰 등 약 900개 ISMS 인증 기업에 긴급 보안 점검을 요청했고, 내년 초부터는 현장 검증도 본격화할 계획이다. 정부 차원에서 제도 정비와 점검 강도가 동시에 높아지는 양상이다.

 

전문가들은 제도 개선 과정에서 기술 통제와 함께 조직 문화, 인사 제도까지 포괄하는 관리 프레임을 세우는 것이 중요하다고 본다. 내부자 통제를 강화한다며 필요 이상의 감시나 업무 경직성을 초래할 경우 현장의 비협조를 부를 수 있는 만큼, 합리적인 책임 구조와 투명한 절차 마련이 병행돼야 한다는 점도 지적된다. 산업계는 ISMS-P가 형식적 인증을 넘어 실제 내부자 리스크를 줄이는 장치로 자리잡을 수 있을지 주시하고 있다.

신민재 기자
share-band
밴드
URL복사
#신한카드#isms-p#쿠팡