CloudPNG

ºC

logo
IT/바이오

개인정보 대량유출에 칼 빼든 정부…쿠팡 ISMS-P 박탈 현실화 주목

조보라 기자
입력

정보보호와 개인정보보호 관리체계 인증을 받은 기업에서 대규모 개인정보 유출 사고가 반복되자 정부가 제도 손질에 나섰다. 핵심은 1000만명 이상 대량 유출이나 반복 위반 시 인증을 과감히 취소하겠다는 방향 전환이다. 그동안 인증마크를 획득하고도 잇따른 사고를 낸 기업들이 제재를 피해왔다는 비판 속에서 제도의 실효성을 높이려는 움직임으로 해석된다. 업계는 3370만명 규모 유출 사고를 낸 쿠팡이 정보보호와 개인정보보호 관리체계 통합 인증 첫 박탈 사례가 될지 주목하고 있다.

 

과학기술정보통신부와 개인정보보호위원회는 29일 정보보호와 개인정보보호 관리체계 인증 취소 기준을 구체화한 방안을 확정했다. 기존에는 관련 고시에서 개인정보보호 법령 위반이 중대할 경우 인증을 취소할 수 있다고만 규정해 실제 집행 과정에서 기준이 모호하다는 지적을 받아왔다. 대규모 사고가 났음에도 인증이 유지되는 사례가 이어지며 무늬만 인증이라는 비판이 커졌다.

정부와 인증기관은 이 같은 논란을 계기로 구체적인 정량·정성 기준을 새로 제시했다. 우선 1000만명 이상 피해가 발생한 경우 원칙적으로 인증을 취소한다. 특정 기업의 서비스 이용자 대부분이 피해자로 포함될 수 있는 수준인 만큼 관리체계 자체가 작동하지 않았다고 판단하겠다는 의미다. 피해 규모가 이보다 작더라도 법 위반이 반복되거나 고의 또는 중과실에 해당해 사회적 영향이 크다고 인정되면 인증 취소를 검토한다.

 

사후관리 의무를 이행하지 않거나 조사 과정에서 자료 제출을 거부하고 허위 자료를 제출하는 경우도 강력한 제재 대상이다. 인증 이후 정기 점검이나 특별 점검에서 중대한 결함이 확인되면 인증위원회 심의를 거쳐 취소가 가능하도록 정리했다. 정보보호 관리체계를 단순 서류상으로만 유지하는 관행을 겨냥한 조치라는 평가가 나온다.

 

이번에 드러난 쿠팡의 개인정보 유출 사고는 정부가 밝힌 새로운 취소 기준에 상당 부분 부합한다. 사고 규모는 약 3370만명으로 1000만명 기준을 세 배 이상 웃돈다. 접근 권한 통제 등 기초적인 보안 관리가 제대로 이뤄지지 않은 정황도 조사 과정에서 확인되고 있다. 쿠팡은 이미 정보보호와 개인정보보호 관리체계 통합 인증을 보유한 상태에서 최근 5년간 네 차례나 유출 사고를 냈다.

 

쿠팡은 지난해에도 인증을 갱신했지만 직후 이번 대규모 침해사고가 발생했다. 제도 취지가 상시적인 보안 수준 유지에 있음에도, 실제로는 인증 취득과 갱신이 최소한의 서류 점검으로 그친 것 아니냐는 비판이 제기되는 배경이다. 반복된 사고와 대량 유출 규모를 고려하면 인증 유지가 타당한지에 대한 문제 제기가 커질 수밖에 없다.

 

정부와 민관합동조사단의 사고 원인 분석 결과는 내년 초 나올 것으로 예상된다. 조사 결과는 과징금 부과 여부뿐 아니라 쿠팡의 정보보호와 개인정보보호 관리체계 인증 유지 또는 취소 결정의 핵심 근거가 된다. 정부가 발표한 취소 기준은 가이드라인 형태지만 법령이나 고시 개정 없이 즉시 적용 가능한 성격으로, 이미 사고가 발생해 조사가 진행 중인 사안에도 그대로 활용될 수 있다.

 

개인정보보호위원회는 이번 기준이 인증위원회의 판단을 돕기 위한 참고틀이라고 설명했다. 개인정보보호위원회 관계자는 이번 방안이 인증위원회 위원이 취소 여부를 심사할 때 참고하도록 만든 것이라며 쿠팡 사고에 대한 적용 여부는 인증위원회가 독립적으로 판단할 사안이라는 입장을 내놨다. 인증위원회 운영은 한국인터넷진흥원이 맡고 있다.

 

한국인터넷진흥원은 국회에서 열린 쿠팡 침해사고 관련 현안 질의에서 이미 쿠팡의 인증 취소 여부를 검토하겠다고 언급한 상태다. 실제 취소 결정이 내려질 경우 정보보호와 개인정보보호 관리체계 제도 도입 이후 첫 대형 플랫폼 인증 박탈 사례가 될 가능성이 크다. 다른 대형 온라인 사업자와 금융권, 공공기관에도 적지 않은 파장을 줄 수밖에 없다.

 

쿠팡은 최근 자체 조사 결과와 일부 보완 조치 내용을 먼저 공개했지만 정부와 민관합동조사단은 사전에 협의되지 않은 발표라고 문제를 제기했다. 공식 조사와 별도로 기업이 자체 결론을 서둘러 제시해 여론전에 나선 것 아니냐는 시각도 있다. 정부는 조사 과정에서 쿠팡의 자료 제출 적정성과 충실성, 사후관리 이행 정도를 면밀히 점검하고 있다.

 

업계에서는 쿠팡의 이런 대응이 향후 제재 수위 결정 과정에서 부담 요인이 될 수 있다는 관측이 나온다. 인증 취소 기준에 사후관리 의무와 자료 제출 성실성이 포함된 만큼, 조사 단계에서의 태도 역시 간접적으로 참작될 수 있다는 분석이다. 인증 취소가 현실화될 경우 다른 기업들에게도 형식적 보안 관리에서 벗어나 실질적 보호 체계 점검을 강화하라는 신호로 작용할 것으로 보인다.

 

디지털 전환이 가속화되는 가운데 개인정보는 플랫폼 비즈니스와 온라인 금융, 헬스케어 서비스의 핵심 자산으로 자리 잡았다. 대규모 유출이 반복되면 이용자 신뢰가 급격히 떨어지고 산업 전체 성장에도 제동이 걸릴 수 있다. 산업계는 한층 엄격해진 관리체계 인증 기준이 실제 시장에서 개인정보 보호 수준을 끌어올릴 수 있을지, 그리고 쿠팡 사례가 제도 전환의 분기점이 될지 예의주시하고 있다.

조보라 기자
share-band
밴드
URL복사
#쿠팡#isms-p#개인정보위