ISMS-P 인증 받은 쿠팡도 털렸다…"중대 결함 발생시 인증 취소" [Q&A]
앞으로는 ISMS-P 인증 때 단순 서류심사가 아닌 모의해킹과 같은 기술심사 방식이 적용되고, 인증기업에서 유출 사고가 발생했을 때 특별 사후심사를 벌여 중대 결함이 확인되면 인증을 취소하는 방안도 추진된다. 개인정보보호위원회와 과학기술정보통신부, 한국인터넷진흥원 등을 통해 주요 궁금증을 문답으로 풀어봤다.
Q : ISMS-P 인증 자체에 대한 실효성 논란이 불거졌다.
A : “인증을 받았다고 개인정보 유출 사고를 완전히 막을 수 있는 것은 아니다. 건강검진을 했다고 해서 질병이 안 일어나는 건 아니지 않나. 다만 ISMS-P 인증은 기업이 자사의 보안관리 체계 수준을 높일 수 있도록 이끄는 제도다. 260개 인증기업 중 유출 사고가 발생한 기업은 10%(27개) 수준이다. 인증제가 전혀 역할을 못 하고 있는 것은 아니라는 의미다. 순기능을 살려야 한다.”
A : “인증 신청 후 이뤄지는 예비심사 때 모의해킹을 통한 기술심사가 이뤄진다. 현재는 심사팀장 한 명이 하루 방문해 심사하는 데 그쳤다. 심사 방식도 서류 위주다. 또 (특정) 사고 사례나 위험요소가 확인될 경우 다른 기업의 심사에 적용, 관리 실태를 점검할 계획이다. 사후관리도 강화한다. 현재 인증 유효 기간은 3년인데 앞으로는 매년 운영 실태를 점검하게 된다.”
Q : 어떤 기업들이 대상인가.
A : “통산 3사나 (쿠팡·네이버와 같은) 대규모 플랫폼 사업자, 주요 공공시스템이다. 국민 파급력이 큰 기업에 강화한 인증 기준을 적용할 방침이다. 정부는 이를 위한 ‘개인정보 보호법 및 정보통신망법’ 개정도 조속히 추진할 예정이다. 시행령에 구체적인 대상을 담게 될 것이다. 소규모 중소사업자들은 현재의 간편 인증을 적용받는다. 이번 강화한 인증은 이들 사업자에게 큰 영향이 없을 것으로 보인다.”
Q : 강화한 인증으로 ‘제2 쿠팡 사태’ 막을 수 있나.
A : “쿠팡 사건에서 문제 된 (퇴직자에 대한) 암호키 관리 부분 등은 지금도 이미 (퇴직 때 정보자산 반납, 계정 및 접근 권한 회수 같은) 기준이 마련돼 있다. ISMS-P 인증이 로컬 차원에서 개별적으로 만든 게 아니다. 국제 표준이다. 기준이 없어서 문제가 된 게 아닌 (인증) 심사 때 어느 수준까지 심사가 이뤄졌는지에 대한 강도의 문제다. 미흡한 부분은 현실화해 나가겠다.”
Q : 제재도 강화하나.
“인증기업에서 유출 사고가 발생할 경우 특별 사후 심사를 한다. 이 과정에서 중대 결함이 발견되면, 인증위원회의 심의·의결을 거쳐 인증을 취소하게 된다. 현재까지 인증이 취소된 기업은 없다. 이와 별개로 현행 개인정보보호법상 전체 매출액의 3% 이내에서 부과하는 과징금 제도와 손해액의 5배를 넘지 않는 범위에서 배상액을 정하는 징벌적 손해배상 제도를 두고 있다. 과징금은 ‘행정처분’이고 징벌적 손해배상은 ‘민사상 판결’이다.”
김민욱([email protected])