CloudPNG

ºC

logo
IT/바이오

“ISMS-P 인증 강화 예고”…개보위, 샘플링 심사 손질 속도

전민준 기자
입력

정보보호 관리체계 인증이 국내 디지털 경제의 신뢰 인프라로 자리 잡은 가운데, 인증을 획득한 기업에서 대형 개인정보 유출이 잇따르며 제도의 실효성을 놓고 논쟁이 커지고 있다. 특히 쿠팡과 통신 3사, 카드사 등 주요 온라인·통신 기반 사업자가 연달아 해킹 피해를 입으면서, 관리체계 인증이 실제 보안 수준을 담보하지 못한다는 지적에 무게가 실리고 있다. 개인정보보호위원회와 과학기술정보통신부는 인증 심사 방식을 전면 재점검하는 태스크포스를 꾸리고 제도 개선에 나선 상태다. 업계에서는 향후 인증 체계 개편이 클라우드, 커머스, 금융 등 전방위 ICT 산업의 보안 투자 방향을 재조정하는 계기가 될 수 있다고 본다.

 

송경희 개인정보보호위원회 위원장은 3일 국회 정무위원회 현안 질의에서 ISMS-P 인증 제도의 문제점을 개선하겠다고 공식 언급했다. 최근 쿠팡의 개인정보 유출 사고가 재차 불거진 데 따른 답변이다. 쿠팡은 2021년과 2024년 두 차례에 걸쳐 ISMS-P 인증을 취득했지만, 현재까지 네 차례 개인정보 유출 사고가 보고됐다. 올해에는 SK텔레콤, KT, 롯데카드 등 다른 대형 ISMS-P 인증 기업들도 해킹 피해를 겪으면서 인증 효용성에 대한 무용론까지 제기된 상황이다.

국회 질의 과정에서 김용만 더불어민주당 의원은 ISMS-P 인증을 받은 263개 기업 가운데 27개 기업에서 33건의 개인정보 유출 사고가 집계됐다고 밝혔다. 송 위원장은 현재 ISMS만 보유한 기업이 약 500개, ISMS-P까지 취득한 기업이 263개라고 설명했다. ISMS-P는 정보보호 관리체계 인증과 개인정보보호 관리체계를 묶은 국내 유일의 통합 인증 제도로, 네트워크·시스템 접근 통제부터 개인정보 수집·보관·파기 절차까지 전 주기를 포괄하는 관리 기준을 제시한다.

 

ISMS-P 인증 구조는 관리적·기술적·물리적 보호조치 기준을 충족하는지를 문서와 시스템 중심으로 점검하는 방식이다. 다만 현재 구조는 기업이 제시한 정책 문서와 일부 시스템을 표본으로 확인하는 샘플링, 서면 평가 비중이 크다. 이런 방식은 최소 관리기준 충족 여부를 빠르게 확인하는 데는 적합하지만, 실시간 위협 환경이나 복잡한 서비스 구조를 완전히 반영하기 어렵다는 한계가 꾸준히 지적돼 왔다. 실제로 클라우드 기반 서비스, 초대형 트래픽을 처리하는 플랫폼에서는 API 보안, 계정 탈취, 서드파티 연계 등 새로운 위협이 계속 등장하고 있어 정태적 관리체계 점검만으로는 사고를 막기 어려운 구조라는 분석이 나온다.

 

쿠팡 사례에서도 국가 공인 인증을 두 차례 보유한 상태에서 반복된 유출이 발생했다는 점이 주목된다. ISMS-P는 연 1회 정기 심사와 일부 사후 점검으로 운영되지만, 그 사이에 새로운 서비스 기능이 추가되거나 아키텍처가 빠르게 바뀌면 실제 운영 환경과 인증 당시 평가 범위 간 괴리가 발생할 수 있다. 대형 커머스 플랫폼처럼 데이터 처리량이 방대하고 외부 파트너 연동이 많은 환경에서는, 특정 구간의 접근 통제 미비나 암호화 누락이 광범위한 개인정보 유출로 이어지기 쉽다.

 

송 위원장은 이런 구조적 한계를 인정하며 심사 방식을 바꾸겠다는 입장을 내놓았다. 그는 현재 샘플링·서면 중심 인증 방식의 한계를 인식하고 있다며 예비심사 도입, 현장 심사 확대, 인증 후 연례 모의해킹을 통해 실질적인 운영 상황을 점검하겠다고 밝혔다. 예비심사는 기업이 본 심사 전 보안 취약 요소를 사전에 파악해 보완하도록 하는 절차로, 인증을 통과하는 것 자체보다 실질적인 보안 수준 향상에 방점을 두는 방식으로 설계될 가능성이 있다.

 

또한 송 위원장은 기준을 준수하지 않는 기관에 대해 인증을 취소하는 방안도 검토 중이라고 했다. 현재 ISMS-P 제도는 일정 기간 인증 유효성을 부여하는 구조지만, 사고 발생 이후에도 관리체계 개선 조치가 미흡할 경우 인증이 유지되는 관행에 대한 비판이 제기돼 왔다. 사고 이후 일정 기한 내 재점검을 통해 기준 위반이 확인되면 인증을 정지하거나 취소하는 방식이 도입될 경우, 기업 입장에서는 인증을 단순한 대외 신뢰 수단이 아닌 지속적인 리스크 관리 의무로 받아들일 수밖에 없게 된다.

 

제도 개선에는 예산과 전문 인력 확충이 필수적이다. 김용만 의원은 관련 예산 11억 원 증액을 요청했지만 반영되지 않았다고 지적했다. 기술 복잡도가 높아질수록 심사관의 보안 역량, 최신 공격 기법에 대한 이해가 중요해지지만, 현실적으로 공공 부문 예산과 인력으로 모든 영역을 커버하기 어렵다는 우려도 크다. 송 위원장은 예산 증액이 불발됐음에도 제도 개선을 어떻게든 추진하겠다고 답했다. 다만 심층 현장 심사와 연례 모의해킹 등이 현실화되기 위해서는 전문기관과의 협력 확대, 민간 보안업체 활용 등 구조적 조정이 뒤따를 것으로 보인다.

 

국제적으로도 정보보호 관리체계 인증과 실제 보안 사고 간 간극은 꾸준한 과제로 꼽힌다. 미국과 유럽에서는 금융, 통신, 클라우드 등 핵심 인프라 사업자에 대해 관리체계 인증과 별개로 징벌적 손해배상, 집단소송, 강제적 사고 통지 의무 등을 통해 사고 이후 책임을 강화하는 방식이 병행되고 있다. 유럽연합의 일반개인정보보호법은 매출 기반 과징금 부과 등 강력한 제재 수단을 두고 있어, 기업이 형식적 준수보다 실질적 위험 감소에 예산을 더 배분하도록 압박하는 효과를 내고 있다.

 

국회에서는 피해 구제 측면의 실효성 부족도 도마 위에 올랐다. 유영하 국민의힘 의원은 우리나라도 미국과 유럽처럼 강력한 규정과 조치를 마련해야 한다며 개인정보 유출 피해 보상 제도의 실효성을 문제 삼았다. 특히 개인정보보호위원회 산하 개인정보분쟁조정위원회의 역할이 사고 규모와 국민적 관심에 비해 제한적이라는 점을 지적했다. 송 위원장도 제도의 한계를 인정하며, 역할 수행 자체는 이뤄지고 있으나 피해 규모와 제도 영향력 사이에 괴리가 존재한다고 말했다.

 

유 의원은 SK텔레콤 개인정보 유출 사건에서 건당 30만 원 지급 권고가 실제로 받아들여지지 않은 사례를 언급하며, 피해 구제 실효성 확보 방안을 마련해야 한다고 강조했다. 현재 구조에서는 분쟁조정위 권고가 강제력이 약한 탓에, 대규모 사고가 발생해도 개별 이용자가 체감하는 보상 수준이 낮다는 지적이 잇따르고 있다. 이는 관리체계 인증을 보유한 기업이 사고를 내더라도 실질적 비용 부담이 크지 않다는 신호를 줄 수 있어, 보안 투자 인센티브를 약화시키는 요인으로도 꼽힌다.

 

정무위원회 질의에서 유 의원은 ISMS-P 제도를 강화하겠다는 정부의 약속이 반복돼 왔다면서, 더 이상 구두 선언에 머물지 말고 실효성 있는 제도 설계를 요구했다. 송 위원장은 지난달 개인정보보호위원회가 과학기술정보통신부와 함께 제도개선 태스크포스를 구성해 개선안을 논의 중이라고 설명했다. 또 ISMS-P를 보유했음에도 사고가 발생한 24개 기업을 대상으로 12월 중 현장 조사를 실시할 계획을 밝혔다. 이는 인증 제도 개편과 병행해, 이미 사고가 발생한 기업들의 관리체계 운영 실태를 직접 점검해 제도 개선에 반영하겠다는 의미로 해석된다.

 

보안 업계에서는 이번 논의가 관리체계 인증을 통과하는 것에서 나아가, 지속적인 위협 모델링과 침해사고 대응 역량까지 포함하는 방향으로 제도가 재편될 수 있다고 보고 있다. 동시에 인증 취소나 과징금 등 사후 제재가 강화될 경우, 기업의 보안·개인정보 보호 투자가 비용 절감 대상에서 핵심 경영 리스크 관리 항목으로 전환될 가능성도 있다. 산업계는 향후 ISMS-P 개편이 실제 시장에 안착해, 인증이 형식이 아닌 실질적 보안 경쟁력의 기준이 될 수 있을지 지켜보고 있다.

전민준 기자
share-band
밴드
URL복사
#개인정보보호위원회#isms-p#쿠팡