쿠팡이 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 두 차례나 취득하고도 4번의 개인정보 유출 사고가 발생해 정부 제도의 실효성 논란이 제기된다.
이에 과학기술정보통신부는 네이버(NAVER)·카카오·쿠팡 등 대형 IT플랫폼 사업자를 '고위험 산업군'으로 지정해 강화된 ISMS-P 기준을 적용키로 했다. 개인정보보호위원회는 이달 중 구축 완료되는 포렌식 랩을 쿠팡 조사에 활용해 원인규명 및 증거확보 역량을 높인다.
1일 정부에 따르면 과기정통부는 IT플랫폼과 통신·인프라 사업자 등 고위험 산업군에 특화된 ISMS-P 점검항목을 개발하고 있다. 침해사고 발생 시 국민 생활에 파급력이 큰 ICT 사업자를 특별관리하겠다는 것이다. IT플랫폼의 경우 적용 대상을 어떻게 할지 기준을 논의 중이지만 네이버, 카카오, 쿠팡은 포함될 가능성이 높다.
과기정통부 관계자는 "현재 연구반에서 점검항목·방식을 구체화하고 있다"며 "내년 상반기 해당 사업자에게 인증기준을 배포해 시행할 예정"이라고 말했다.
개인정보위는 쿠팡 조사에 자체 포렌식 랩을 첫 활용한다. 포렌식 랩은 개인정보 유출에 특화해 디지털 증거를 수집·분석·보전하는 시설이다. 기업이 은폐·조작한 증거를 밝히는 데 도움이 된다. 개인정보위는 그동안 한국인터넷진흥원(KISA)의 포렌식 랩을 빌려 썼는데, 이는 해킹 원인 분석 기능 중심이어서 한계가 따랐다. 이번 포렌식 랩으로 쿠팡의 개인정보 유출 조사 강도를 높인다는 목표다.
국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보위로부터 제출받은 자료에 따르면 2020년부터 이달까지 ISMS-P 인증기업 27곳에서 34건의 개인정보 유출이 있었다. 최근 대규모 해킹사고를 겪은 SK텔레콤·KT·예스24·롯데카드 모두 ISMS-P 인증 기업이다. 쿠팡도 2021년, 2024년 ISMS-P 인증을 받았지만 이번 침해사고를 막지 못했다.
ISMS-P 인증을 받으려면 총 101개 항목에서 적합 판정을 받아야 하는데 대부분 서류·체크리스트 중심의 심사여서 형식적으로 운영된다는 지적이 잇따랐다. 또 ISMS-P 인증은 3년마다 갱신하는데, 심사 당시엔 인증기준에 부합해도 시간이 지나면 보안 허점이 발견될 수 있다. 개인정보보호법에 따르면 인증 기준 미달 및 중대한 법령 위반시 인증을 취소할 수 있지만 해당 사례가 전무해 기업들의 경각심이 낮다는 비판도 나왔다.
이에 과기정통부와 개인정보위는 지난달 '범부처 정보보호 종합대책'에서 △서류→현장 심사 중심으로 전환 △중대한 결함이 발생하는 경우 인증 취소 △모의해킹·화이트해커 이용한 상시 취약점 점검 체계 구축 등 ISMS-P 제도 개선방안을 발표했다. 인증기업을 대상으로 매년 진행하는 사후 심사도 점검 인력·기간을 확대하는 방안을 준비 중이다. 국회 정무위원회에서도 개인정보위에 △ISMS-P 제도 개선 11억원 △IoT(사물인터넷) 등 신기술 제품 분석 40억원의 예산 증액이 필요하다는 의견을 냈다.
개인정보위 관계자는 "현재 현장 심사 항목을 구성하고 있다. 내년부터 개선된 ISMS-P 인증이 시행될 것"이라며 "개인정보보호법에 따라 인증기준이 미달하거나 중대한 법령이 있을 경우 인증을 취소할 수 있는데 그동안은 적용하지 않았다. 쿠팡은 조사 결과에 따라 인증을 취소할 가능성도 있다"고 말했다.