ISMS-P 인증 취득 기업 중 SKT·예스24·KT·롯데카드 포함…인증 제도 신뢰성 도마 위
한창민 의원 "제도 전면 손질하고 공공·금융권까지 확대해야"
참고용 이미지. 재판매 및 DB 금지/ 유토이미지 *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 기관·기업 중 32곳에서 개인정보 유출 사고가 발생했거나 현재 관련 조사를 받고 있는 것으로 확인됐다.
특히, 최근 대규모 사이버 침해사고를 당한 SK텔레콤, 예스24, KT, 롯데카드 등도 ISMS-P 인증을 보유한 것으로 밝혀지면서 국내 정보보안 인증 제도의 실효성과 검증 기능에 대한 의문이 제기되고 있다.
인증이 왜 필요한 거야?…ISMS-P 인증 받은 32곳서 유출사고 발생
이는 인증을 받은 기업 내부에서도 실질적인 정보보호 조치가 미흡했거나 인증이 형식적으로 작용했음을 보여주는 사례로 비칠 수 있다.
ISMS-P는 ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)를 통합해 2018년부터 시행 중인 국내 유일의 개인정보보호 통합 인증제도다.
개인정보를 처리하는 기관이나 기업이 운영 중인 보호 체계의 적합성과 이행 수준을 총 101개 항목으로 심사해 인증한다. 기존 ISMS의 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 전 단계에 대한 보호 요구사항 21개 항목이 추가돼 구성된다.
기업들의 참여를 유도하기 위해 개인정보위는 과징금 최대 50%, 과태료 최대 40% 감경 등의 행정적 혜택을 부여해왔다. 그러나 최근 몇 년간 인증을 받은 기업들에서 연이어 개인정보 유출 사고가 발생하면서 제도 자체의 실효성에 대한 비판이 제기되고 있다.
개인정보 유출사고 ISMS-P 인증기업 목록. 출처개인정보위(한창민 의원실 제공) *재판매 및 DB 금지
"개인정보보호 인증제도 전면 개편해야"
최근 대규모 사고를 일으킨 SK텔레콤, 예스24, 롯데카드를 비롯해, LG유플러스, 카카오, 쿠팡, 넥슨코리아 등 주요 통신사, 플랫폼 기업, 게임사 등 생활 밀접형 서비스를 제공하는 기업 상당수가 ISMS-P 인증을 취득한 이력이 있다. 게다가 KT, SK텔레콤, LG유플러스, 쿠팡 등은 ISMS-P 인증을 받은 이후에도 여러 차례 개인정보 유출 사고를 겪은 바 있다.
한창민 의원은 유출 사고를 일으킨 기업들이 인증 심사기관의 임원사로 활동하고 있다는 점도 따졌다. SK텔레콤, KT 등은 각각 한국정보통신진흥협회(KAIT)와 개인정보보호협회(OPA)의 임원사로 등재돼 있다. 이 기관들은 ISMS-P 인증의 공식 심사기관이다.
한창민 의원은 "사전예방 체계의 마지막 관문인 개인정보보호 인증제도(ISMS-P)마저 뚫렸다"면서 "먼저 개인정보보호 인증제도를 전면적으로 개편해야 하며, 그 뒤에 공공기관과 금융기관을 인증 의무기관에 포함해야 한다"고 강조했다.
◎공감언론 뉴시스 [email protected]
