송경희 개인정보보호위원회 위원장이 이달 개인정보보호 관리체계 인증(ISMS-P)을 받고도 개인정보 유출 사고가 발생한 24개 기업에 대한 현장조사를 예고했다.
3일 송 위원장은 국회 정무위원회의 쿠팡 현안 질의에 참석해 ISMS-P 인증 관련 "11월 과기정통부(과학기술정보통신부)와 함께 제도개선 TF(태스크포스)를 마련했고, 12월에는 인증받았는데 사고가 난 24개 기업에 현장 조사를 계획하고 있다"고 밝혔다.
해당 발언은 유영하 국민의힘 의원이 "ISMS-P 인증을 받은 기업들에서 자꾸 개인정보유출 사고가 발생하고 있다"면서 "인증의 실효성이 떨어진다"고 지적한 데 따른 것이다.
개보위에 따르면 현재 ISMS 인증을 받은 기업은 500여개, ISMS-P까지 받은 기업은 총 263개다. ISMS는 정보보호 중심, ISMS-P는 정보보호에 개인정보보호조치를 통합한 인증으로 좀 더 까다롭다. ISMS는 전년도 매출액 100억원 이상, 또는 일평균 이용자 100만명 이상인 정보통신서비스 제공자에게는 의무 인증이고, ISMS-P는 자율인증이다.
김용만 더불어민주당 의원은 이와 관련 "ISMS-P 인증이 지금은 자율이지만 앞으로 의무화하겠다고 했는데 개인정보 유출사건을 보면 (인증) 실효성에 의문이 있다"면서 "SKT나 KT, LG 유플러스도 받았고, 심지어 쿠팡은 (받았는데) 이번이 세 번째 유출"이라고 질책했다.
그러면서 김 의원은 "ISMS-P 인증을 받은 263개 기업 중 27개 기업에서 33건의 개인정보 유출 사고가 발생했는데 쿠팡 한 곳에서 3건 사고가 발생했다"면서 "ISMS-P 인증 관련 예산 11억원 증액을 신청했는데 안 받아들여진 것으로 안다. 증액 못하면 어떻게 할 거냐"고 물었다.
이에 송 위원장은 "현재 서면 심사, 조사를 통해 ISMS-P 인증을 줬는데 앞으로는 예비심사제도, 현장 심사를 통해 인증을 주고, 1년마다 모의해킹 제도를 하고 현장 검사를 통해 실제 인증에 맞춰 운영되는지 검사하고 심각하게 못 하면 취소까지 할 계획"이라고 밝혔다.
아울러 "관련 예산 11억원 증액이 안 됐지만 어떻게든 하겠다"고 덧붙였다.