국회 과방위의 쿠팡 긴급현안질의
허술한 보안인증에 유명무실 징벌적 손배제 도마위
정부 "이달 내 범부처 정보보호 대책 2차 발표"
통신·금융에 이어 플랫폼까지 털리면서 정부의 부실한 관리·감독 체계가 도마 위에 올랐다. 부실한 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도 개편부터 징벌적 손해배상제 현실화 등 지적이 쏟아졌다. 특히 이번 쿠팡 침해사고는 중국인 내부자 소행설이 제기되면서 범정부 차원의 사이버안보 컨트롤타워 필요성이 제기됐다.
2일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원은 "쿠팡이 지난 19일 침해사고를 신고했는데 과학기술정보통신부가 민관합동조사단을 꾸린 건 30일로 대응이 너무 늦다"며 "(해킹이) 하루 이틀도 아닌데 계속 소 잃고 외양간 고치는 격"이라고 지적했다. 한국인터넷진흥원(KISA)이 초기 유출 규모를 4500건으로 판단하면서 조사단 구성이 늦어진 것이다. 김우영 더불어민주당 의원은 "3370만명의 개인정보가 유출된 건 국가안보의 문제"라며 "국가정보원과 협의하라"고 지적했다.
2015년 개인정보보호법에 징벌적 손해배상제가 도입됐지만 현재까지 적용된 사례는 '0건'으로 나타났다. 개인정보처리자의 고의 또는 중대한 과실로 개인정보주체의 손해가 발생한 경우 법원이 손해액의 5배 이내에서 손해배상액을 정할 수 있게 했지만 인정된 사례가 없었다. 실효성이 없다는 지적에 이정렬 개인정보위 부위원장은 "빠른 시일 내 개선안을 마련하겠다"고 말했다.
정부가 쿠팡에 1조원 이상의 과징금과 영업정지를 검토해야 한다는 지적도 쏟아졌다. 개인정보보호법에 따르면 개인정보 도난·유출 시 전체 매출의 최대 3%를 과징금으로 부과할 수 있다. 지난해 쿠팡 매출은 41조원으로, 최대 3% 적용시 과징금 규모는 1조2000억원 이상이다. 이는 역대 최고 수준인 SK텔레콤(80,800원 ▲3,000 +3.86%) 과징금(1348억원)의 9배 수준이다. 또 전자상거래법은 통신판매로 소비자의 재산상 손해가 큰 경우 공정거래위원회가 영업정지를 명할 수 있게 했다. 이에 대해 개인정보위와 과기정통부는 각각 검토 및 관계기관과 협의하겠다고 답했다.
ISMS-P 인증기업이 잇따라 해킹되면서 유명무실하다는 비판도 나왔다. 쿠팡은 두 차례 ISMS-P 인증을 받았지만 주요 평가내용인 '조직 내 인력 퇴직시 접근권한 회수' 조항을 어겨 이번 사태를 촉발한 것으로 풀이된다. 김승주 고려대 정보보호대학원 교수도 "짧은 기간내 서류 위주로 검사를 하다 보니까 실제 환경과 동떨어진 경우가 많다"고 꼬집었다.
현재 과기정통부와 개인정보위는 연구반을 구성해 ISMS-P 제도 개선을 논의 중이다. 배경훈 부총리는 "이달 내 2차 '범부처 정보보호 종합대책'을 발표해 국회 지적 사항을 보완하겠다"며 "징벌적 손해배상제 추가 등을 적극 검토하겠다"고 말했다.
한편 과기정통부에서 침해사고 조사를 전담하는 '사이버침해대응과'의 인력은 담당과장 포함 3인뿐이다. 과기정통부는 침해사고가 증가하는 만큼 행정안전부에 사이버침해대응과를 별도 국으로 독립해 증원하는 방안을 제안했으나 행안부의 거절로 3명 증원에 그쳤다. 쿠팡을 조사하는 민관합동조사단도 8명으로 △KT 30명 △LGU+ 12명 △SKT 11명보다 적은 수준으로 나타났다.
