CloudPNG

ºC

logo
IT/바이오

"보안 최고 등급 맞나"…쿠팡, ISMS-P 박탈 첫 사례되나

조보라 기자
입력

3370만명 규모의 개인정보 유출 사고를 일으킨 쿠팡이 정부 개인정보보호통합인증 ISMS-P를 박탈당하는 첫 사례가 될지 주목되고 있다. 국내 최고 수준의 정보보호 관리 인증을 보유한 기업에서 기초적인 계정 관리 실패가 드러나면서, 인증 제도 자체의 신뢰도와 사후 관리 체계에 근본적인 손질이 불가피하다는 지적이 국회와 업계 전반에서 확산되는 분위기다. 과징금 산정 시 감경 근거로 쓰여온 ISMS-P가 사실상 ‘보안 우수 기업 보증서’가 아니라 ‘위반 할인 쿠폰’으로 기능해 온 것 아니냐는 비판도 거세다.

 

쿠팡 사태의 직접적인 쟁점은 퇴사자의 접근 권한 관리 실패다. 국회 정무위원회 쿠팡 침해사고 관련 현안 질의에서 이상중 한국인터넷진흥원 원장은 퇴직자가 패스키를 이용해 시스템에 접근해 대규모 개인정보를 유출한 정황과 관련해, ISMS-P 인증 기준 위반 여부를 묻는 질문에 “그렇게 보인다”고 답했다. 인증 기준을 충족하지 못했을 수 있다는 점을 사실상 인정한 발언으로, 쿠팡의 인증 취소 가능성을 정부 책임자가 공식 석상에서 처음 시사한 셈이다.

ISMS-P는 2018년부터 기존 정보보호 관리체계 인증 ISMS와 개인정보보호 관리체계 인증 PIMS를 통합한 제도다. 관리체계 16개, 보호대책 64개 등 80개 정보보호 기준에 더해 개인정보 수집부터 파기까지 처리 단계별 21개 항목을 추가해 총 101개 기준을 평가한다. 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 제도로, 인증을 획득한 기업은 고객 정보를 보호하기 위한 최소한의 관리체계와 기술적·관리적 보호조치를 갖춘 것으로 정부가 공인하는 구조다.

 

그럼에도 최근 5년간 인증 기업 263곳 가운데 쿠팡, SK텔레콤, KT, 롯데카드 등 27개사에서 33건의 개인정보 유출 사고가 발생했다. 특히 쿠팡 사례는 계정·권한 관리라는 가장 초보적인 보안 수칙조차 지키지 못했다는 점에서 충격을 키우고 있다. 퇴사자 계정과 접근 수단을 제때 회수하지 않으면 내부자에 준하는 위협 요인이 되는 만큼, ISMS-P 심사 과정에서 실제 운영 실태를 제대로 들여다보지 못한 것 아니냐는 지적이 쏟아진다.

 

국회에서도 인증 제도의 실효성에 대한 문제가 집중적으로 제기됐다. 김용만 더불어민주당 의원은 “퇴직자가 패스키로 접근했다면 명백한 인증 기준 위반 아니냐”고 질의했고, 이 원장은 다시 “그렇게 보인다”고 답했다. 김 의원은 나아가 “ISMS-P 인증을 받은 기업 전체를 전수 조사해 보안 관리에 이상이 없는지 확인해야 한다”고 요구했다. 제도 도입 후 단 한 차례도 인증 취소 사례가 없었다는 점에서, 실질적인 사후 관리는 사실상 작동하지 않았다는 비판이다.

 

현행 공동 고시에 따르면 ISMS-P 인증 기준에 미달하거나 법 위반 등 중대한 사유가 발생할 경우 인증 취소가 가능하다. 한창민 사회민주당 의원은 “이번 사고는 중대하며, 인증 기준의 핵심 원칙을 어긴 만큼 사실관계만 놓고 보면 당연히 취소해야 하는 사안”이라고 주장했다. 이 원장은 여기에 대해서도 “그렇게 보인다”고 답해, 정부가 쿠팡의 인증 유지가 어렵다는 판단을 상당 부분 공유하고 있는 것으로 해석된다.

 

ISMS-P가 과징금 감경 수단으로 활용되며 제도 취지가 퇴색했다는 지적도 이어졌다. 현행 개인정보보호법 체계에서 ISMS-P 인증을 보유한 기업은 유출 사고 발생 시 과징금 부과 단계에서 일정 부분 감경을 받을 수 있다. 보안 인증을 받았다는 이유로 책임이 줄어드는 구조가 결과적으로 기업의 실질적 보안 투자 유인을 떨어뜨렸다는 비판이다.

 

실제 사례도 공유됐다. 한창민 의원에 따르면 쿠팡은 지난해 말 판매자 전용 시스템 윙에서 주문자와 수취인 등 2만2천여명의 개인정보가 노출됐을 당시, 개인정보위 산정 기준상 과징금은 약 39억4천만원 수준이었다. 하지만 이후 조정 절차를 거치며 최종 부과액은 13억1천만원으로 감소했다. ISMS-P 인증 보유 여부가 감경 사유로 반영된 결과다. 한 의원은 “홍보 수단으로 인증을 내세운 기업이 사고를 내고도 인증을 이유로 과징금을 깎아주는 것은 제도 취지와 맞지 않는다”며 과징금 감경 규정 개정을 촉구했다.

 

정부도 제도 신뢰 회복을 위해 ISMS-P 전반에 대한 손질에 나서겠다는 입장이다. 개인정보위와 과기정통부는 과징금 감경 요건을 보다 엄격하게 적용하고, 인증 후 사후 관리를 대폭 강화하는 방향을 검토 중이다. 송경희 개인정보위원장은 인증 이후 1년마다 모의 해킹 등 기술적 검증을 포함한 실질 운영 점검을 실시하고, 이를 이행하지 못하는 기업·기관에는 인증 취소를 적극적으로 적용하겠다는 개선 방향을 언급했다.

 

송 위원장은 또 “이달 ISMS-P 개선 태스크포스를 구성해 제도 전반에 대한 개선 방안을 논의하고 있다”며 “사고가 발생한 기업에 대해서는 이달 중 현장 조사를 진행할 계획”이라고 밝혔다. 인증 획득 시점에서의 서류·현장 심사에 머무르지 않고, 운영 과정 전반을 상시 관리하는 방식으로 제도를 전환하겠다는 의미로 풀이된다.

 

보안 업계에서는 ISMS-P의 구조적 한계도 함께 지적한다. 현재 인증은 관리체계 수립과 문서화, 조직 내 역할 분담, 위험 평가와 같은 관리적 통제에 상대적으로 무게가 실려 있다. 실제 침해사고 대응 역량, 계정과 권한 관리의 자동화 수준, 내부자 위협 탐지와 같은 기술·운영 측면에 대한 정량 평가는 상대적으로 약한 편이다. 이번 쿠팡 사례처럼 퇴사자 계정 미회수와 패스키 관리 부실이 대형 사고로 이어졌음에도, 형식적인 문서와 절차만으로는 취약점을 가늠하기 어려웠다는 비판이다.

 

글로벌 차원에서 보면 개인정보보호와 보안 인증은 이미 기업 경쟁력의 핵심 요소로 자리 잡았다. 유럽연합의 일반개인정보보호규정 GDPR은 위반 시 전세계 매출의 최대 4퍼센트까지 과징금을 부과할 수 있는 강력한 제재를 도입했고, 미국과 일본 등 주요 국가도 금융·의료 분야를 중심으로 세부 가이드라인과 기술 표준을 빠르게 정교화하는 추세다. 이런 흐름 속에서 한국의 ISMS-P는 기업 부담을 고려해 유연하게 운영돼 왔지만, 그만큼 실효성과 신뢰가 흔들렸다는 평가도 나온다.

 

국내 IT·플랫폼 업계는 이번 사태를 계기로 인증 기준과 평가 방식이 대폭 강화될 경우, 단기적으로는 비용과 인력 부담이 커질 수밖에 없다고 우려한다. 쿠팡과 같이 대규모 개인정보를 처리하는 기업은 기존 방화벽과 침입탐지 시스템뿐 아니라 계정·권한 관리 자동화, 휴면·퇴직자 계정 실시간 차단, 패스키·토큰 관리 강화 등 고도화된 통제 수단을 우선적으로 도입해야 할 전망이다. 동시에 중견·스타트업 기업의 경우 기존 인력 규모로는 강화된 기준을 충족하기 쉽지 않아, 인증을 포기하는 사례가 늘어날 가능성도 지목된다.

 

전문가들은 다만 보안 인증이 규제나 제재 수단에만 초점을 맞출 경우, 기업의 자발적 투자와 기술 혁신을 위축시킬 위험도 경고한다. 인증이 과징금 감면용이 아니라 실제 사고를 줄이는 설계 지침이 되도록, 평가 기준을 정교하게 조정해야 한다는 제언이다. 예를 들어 퇴사자 계정 회수, 권한 최소화 원칙, 데이터 마스킹과 암호화 수준, 로그 모니터링 자동화 정도 등을 정량적으로 측정해 가점·감점 체계를 세밀하게 구성하는 방식이 거론된다.

 

쿠팡 사태는 결국 인증 제도가 현실의 보안 수준을 얼마나 정확히 반영하고 있는지에 대한 근본적인 질문을 던지고 있다. ISMS-P가 단순한 체크리스트와 홍보 문구를 넘어, 실제 사고 예방 효과를 입증하려면 제도 운영 방식과 감독 체계가 근본적으로 재설계돼야 할 것으로 보인다. 산업계는 쿠팡에 대한 인증 취소 여부와 함께, 향후 보안 인증 제도가 어느 수준까지 강화될지 예의주시하고 있다. 기술과 윤리, 산업과 제도 간 균형을 어떻게 맞추느냐가 보안 규제 체계 재편의 성패를 가를 변수로 부상했다.

조보라 기자
share-band
밴드
URL복사
#쿠팡#isms-p#개인정보위