‘국가 정보보호 인증’ 무용지물…기업 27곳, 5년동안 34건 유출
ISMS-P는 2018년 과학기술정보통신부의 ‘정보보호 관리체계 인증(ISMS)’과 개인정보위원회의 ‘개인정보보호 관리체계 인증(PIMS)’을 합쳐 만든 국가 보안인증 제도다. 정보통신서비스 부문 매출액이 100억원 이상인 쿠팡은 ISMS-P 인증 의무 대상이다. 인증 범위는 로켓배송과 쿠팡이츠 등을 포함한 쿠팡 전체 서비스다. 쿠팡은 2021년 3월 ISMS-P 첫 인증을 받았고, 2024년 3월 인증을 경신했다. 하지만 인증을 받은 이후에도 개인정보 유출 사고가 이어졌다. 국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 인증받은 이후에도 이번 3370만 명 유출 사태 포함 총 4건이 발생했다. 쿠팡 외에도 2020년 이후부터 11월까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.
보안 전문가들은 제도 보완이 필요하다는 지적이다. 염흥렬 순천향대 정보보호학과 명예교수는 “ISMS-P 등과 같은 인증이 없다면 해킹이 더 자주 발생할 것”이라며 “다만 현재는 인증 획득 후 기업이 갱신 유효 기간 3년이 되기 전까진 매년 자율적으로 사후 점검을 하는데, 제대로 하고 있는지 정부가 확인할 방법이 없다”고 지적했다. 이어 “이를 정부가 직접 규제하거나 점검 기준을 강화하는 보완책을 고민할 필요가 있다”고 덧붙였다. 쿠팡 출신의 IT기업 보안 담당 임원은 “정부가 매년 직접 점검하기엔 예산과 인력 문제가 있다. 자체 점검 대신 제3자 보안업체가 사후 점검을 하는 등 제도 개선을 고민할 시점”이라고 말했다.
여성국.오현우([email protected])