[서울=뉴시스]권안나 기자 = 롯데카드가 국내 최고 수준의 보안관리체계 인증인 'ISMS-P'를 획득한 지 이틀 만에 대규모 해킹 사고를 겪으면서, 보안 인증 제도의 실효성이 도마 위에 올랐다.

28일 보안업계에 따르면 ISMS-P는 개인정보보호위원회가 주관하고 한국인터넷진흥원(KISA)이 관리·감독하는 개인정보보호 관리체계다. 금융권의 경우 금융보안원이 KISA의 위탁을 받아 인증 심사를 맡고 있다.

문제가 된 롯데카드는 지난달 12일 금융보안원으로부터 ISMS-P 인증을 획득했고, 14일 오후 처음 해킹 공격을 받았다. 이후 수 차례에 걸쳐 해킹이 진행됐고, 롯데카드가 이를 인지하고 금융당국에 신고한 것은 최초 공격으로부터 18일이 지난 이달 1일이다.

이번 해킹 사고로 내부 파일 약 200GB(기가바이트)가 유출돼 297만명의 개인정보가 피해를 입은 것으로 파악됐다. 유출된 정보 가운데 28만명에 대해서는 카드 비밀번호 2자리, CVC 번호 등 민감정보까지 포함됐다.

조좌진 롯데카드 대표가 청문회 등을 통해 밝힌 바에 따르면, 사고 원인은 특정 서버 관리에 사용된 오라클의 웹 로직 프로그램에서 2017년 발견된 취약점 패치를 누락한 데 있었다. 롯데카드는 당시 48대의 온라인 결제 서버 중 한 대를 업데이트하지 못했고, 이후 약 8년간 보안 패치가 이뤄지지 않아 결국 해커의 침투를 허용했다.

이 처럼 긴급 취약점이 장기간 방치됐음에도 불구하고 인증이 발급되면서, ISMS-P 제도의 실효성에 의문이 제기된 것이다.

김승주 고려대학교 정보보호대학원 교수는 "ISMS는 기본 건강검진 같은 것이라 해킹을 100% 막을 수 없다는 주장이 있지만 검진에서 걸러야 했을 항목을 놓친 것"이라며 "긴급 업데이트하라고 공지한 보안 취약점이 8년간 방치됐는데도 올해 ISMS-P 인증을 받은 것은 정부의 관리 부실로 볼 여지가 있다"고 지적했다.

보안업계에서는 ISMS-P 인증을 받은 것 만으로 해킹사고가 발생하지 않을 것이라는 편견은 경계해야 한다는 의견도 있다. 인증은 기업의 보안 관리체계가 일정 수준 이상임을 확인하는 절차일 뿐, 모든 해킹을 차단하는 보증서가 아니라는 것이다.

권기남 금융보안원 상무는 "인증을 받았다고 해서 해킹이 일어나지 않는다는 의미가 아니다. 회사가 정보보호 업무를 수행할 적정 수준의 관리체계를 갖췄다는 의미로 이해해야 한다"며 "자동차 안전 검사를 통과했다고 해서 교통사고가 발생하지 않는다고는 볼 수 없는 것과 같다"고 설명했다.

다만 현행 인증 제도를 개선하고 기업과 국가 차원의 보안관리 체계를 개편할 필요성에는 공감대가 형성되고 있다.

서지용 상명대학교 경영학부 교수는 "외부 평가 모델에 준한 내부 평가 모형의 표준화가 필요하다"며 "반기마다 취약성 평가를 의무화하고, 외부 평가 과정에 당국이 직접 참여하는 등 현재보다 체계적인 보안 관리 체계가 요구된다"고 말했다.


◎공감언론 뉴시스 mymmnr@newsis.com