[서울=뉴시스] 신효령 기자 = 송경희 개인정보보호위원회 위원장이 3일 쿠팡의 개인정보 유출 사고로 불거진 ISMS-P(정보보호·개인정보보호 관리체계 인증) 문제를 개선하겠다고 밝혔다.

송 위원장은 이날 오후 국회 정무위원회의 쿠팡 개인정보 유출 관련 현안 질의에서 김용만 더불어민주당 의원이 "통신 3사와 롯데카드, 쿠팡 모두 ISMS-P 인증을 받은 기업인데 쿠팡은 3번째 유출이지 않냐"고 묻자 "문제점을 개선하겠다"고 답했다.

김 의원은 "ISMS-P 인증 기업 263곳 중 27개 기업에서 33건의 개인정보 유출 사고가 있었다"며 ISMS-P 인증 기업 현황을 물었다. 송 위원장은 ISMS 인증을 받은 기업은 500여 개, ISMS-P까지 받은 기업은 총 263개라고 밝혔다.

ISMS-P 인증은 과학기술정보통신부(과기부)와 개인정보보호위원회(개보위)가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기부의 '정보보호 관리체계 인증(ISMS)'과 개보위의 '개인정보보호 관리체계 인증(PIMS)'을 통합해 만들었다.

쿠팡의 개인정보 유출 사고는 이번이 네 번째다. 쿠팡은 국가 인증제도인 ISMS-P를 2021년 3월과 2024년 3월 두 차례 인증받았지만 개인정보 유출 사고가 연이어 발생했다. 올해 쿠팡을 비롯해 SK텔레콤, KT, 롯데카드 등 ISMS-P 인증을 보유한 대형 기업들이 잇따라 해킹 피해를 입으면서 ISMS-P 인증의 실효성에 대한 의문, 무용론이 제기됐다.

김 의원이 ISMS-P 실효성에 의문을 제기하자 송 위원장은 "ISMS-P가 전반적인 보안 수준을 끌어올리는 효과는 있었으나, 체계적으로 보완해야 할 부분이 많다"고 밝혔다.

송 위원장은 "현재는 샘플링·서면 중심 인증 방식이라서 한계가 있다는 점을 인식하고 있다. 예비심사 도입, 현장심사 확대, 인증 후 매년 모의해킹 등을 통해 실질적인 운영 상황을 점검하겠다"고 덧붙였다. 또 송 위원장은 "기준을 지키지 않는 기관은 인증을 취소하는 방안도 검토 중"이라며 강화된 제도 운영 계획을 밝혔다.

김 의원은 "관련 예산 11억 원 증액을 요청했는데 반영되지 않았다"고 지적했다. 송 위원장은 예산 증액 불발과 관련해 "어떻게든 제도 개선을 추진하겠다"고 했다.

유영하 국민의힘 의원은 "우리나라도 미국이나 유럽처럼 개인정보 보호를 위한 보다 강력한 규정과 조치를 마련해야 한다"며 개인정보 유출 시 피해 보상 제도의 실효성 부족 문제를 제기했다.

아울러 유 의원은 개보위 산하 개인정보분쟁조정위원회의 실효성 문제도 지적했다. 이에 대해 송 위원장은 "역할을 수행하고 있는 것은 사실이지만, 국민적 관심과 사고의 규모에 비해 제도적 한계가 있는 것도 사실"이라고 인정했다.

유 의원은 SK텔레콤 개인정보 유출 사건을 언급하며 "건당 30만 원 지급이 권고됐지만 실제로 받아들여지지 않았다. 피해 구제 실효성을 확보할 방안을 마련해야 한다"고 강조했다.

이어 "ISMS-P 인증 제도를 강화하겠다고 했는데 계속 말뿐이다. 실효성 있게 만들어 달라"고 촉구했다. 이에 대해 송 위원장은 "지난달 개보위는 과학기술정보통신부와 제도개선 태스크포스(TF)를 구성해 개선안을 검토 중이다. 인증받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장 조사를 나갈 예정"이라고 답했다.



◎공감언론 뉴시스 snow@newsis.com