쿠팡 개인정보 유출 사태 소비자 불안 확산
이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 지난 4일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. 3일 유통업계에 따르면 온라인상에서는 '쿠팡 사태' 이후 로그인 시도와 스미싱 등 피해를 봤다는 사례가 잇따르고 있다.사진=연합뉴스
최근 쿠팡 등 정보보호 관리체계(ISMS) 및 정보보호 개인정보보호 관리체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 반복되면서 정부가 두 인증제도의 사후관리와 심사 기준을 대폭 강화하기로 했다.
특히 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인될 경우 인증을 취소하는 방안도 추진된다.
이는 대규모 개인정보 유출로 인한 국민 피해를 방지하고 기업의 책임감을 강화하기 위한 정부의 강력한 의지로 해석된다.
◆ 반복되는 개인정보 유출, 정부의 강도 높은 대응
개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 열고 이러한 인증제 개선 방안을 논의했다고 밝혔다.
개편안의 핵심은 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공 및 민간 주요 개인정보처리시스템에 의무화하여 상시적인 안전 관리 체계를 갖추도록 할 계획이다.
대상은 주요 공공시스템, 통신사, 그리고 대규모 플랫폼 등이며, 특히 국민적 파급력이 큰 기업에는 강화된 인증기준을 새로 마련하여 적용할 방침이다.
이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진될 예정이다.
◆ ISMS-P 인증 제도, 심사 방식 및 사후 관리 '철퇴' 예고
정부는 ISMS-P 인증의 심사 방식 또한 대대적으로 바꾼다.
인증 범위에 자산 현황을 추가하고, 예비심사 단계에서 핵심 항목을 먼저 검증한다.
또한 기술 심사와 현장 실증 심사 역시 강화하여 실질적인 보안 수준을 평가할 수 있도록 개선한다.
분야별 인증위원회를 운영하고 인공지능(AI) 등 신기술 교육을 심사원에 확대해 전문성을 높일 계획도 포함된다.
사후 관리는 더욱 엄격해진다.
인증기업에서 유출 사고가 발생하면 즉시 특별 사후 심사를 실시해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의 의결을 거쳐 인증을 취소할 수 있도록 했다.
지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없었다.
만약 쿠팡의 인증이 취소된다면, 이는 최초의 사례가 될 전망이다.
개인정보위는 사고 기업에 대해 사후 심사 인력과 기간을 기존보다 두 배로 투입하여 사고 원인과 재발 방지 조치를 집중 점검하겠다고 밝혔다.
개인정보보호위원회, ISMS-P 인증개선 관련 회의.사진=연합뉴스
◆ '인증 취소' 초유의 사태 나올까... 쿠팡에 관심 집중
양청삼 개인정보위 개인정보정책국장은 "인증 기업 중 10퍼센트(%) 정도에서 사고가 났지만, 이것만 가지고 인증제도가 아무런 의미가 없다는 비판을 받을 정도로 전혀 역할을 못하고 있는 건 아니다"라며 "순기능은 잘 살려야한다"고 강조했다.
그러면서도 인증 취소 방침과 관련해서는 "ISMS든 ISMS-P든, 법령상 취소할 수 있도록 되어 있다"며 "사후 심사 과정에서 그런 부분들을 찬찬히 봐서 중대한 결함이 발생했을 경우 인증 취소를 적극적으로 검토하려고 한다"고 설명했다.
개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장 점검을 실시한다.
특히 쿠팡 등 현재 조사가 진행 중인 기업은 과학기술정보통신부 민관합동조사단 및 개인정보위 조사와 연계하여 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검할 예정이다.
과기정통부는 지난 10월 발표한 '정보보호 종합대책' 후속 조치로 900여 개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체 점검을 요청했으며, 내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 방침이다.
양 기관은 현재 운영 중인 과학기술정보통신부 개인정보위 인증기관 합동 제도개선 태스크포스(TF)를 통해 개선 방안을 확정한 뒤, 특별 사후 점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 계획이다.