◈인증 기업들의 연이은 대규모 유출 사고
정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 국내 주요 기업들이 올해 잇따라 개인정보 유출 사고를 겪으면서 정보보안 인증 제도의 실효성에 대한 우려가 증폭되고 있다. SK텔레콤, 예스24, 롯데카드, KT, 넷마블, 쿠팡 등 대형 기업들이 모두 ISMS-P 인증을 확보하고 있음에도 해킹 및 내부 통제 실패로 인한 침해사고를 막지 못하면서 인증 체계 전반에 대한 재검토 필요성이 제기됐다.
쿠팡의 사례는 이러한 문제점을 단적으로 보여준다. 쿠팡은 2021년과 2023년에 ISMS-P 인증을 갱신했지만 최근 5년간 총 네 차례 개인정보 유출이 발생했다. 2021년에는 쿠팡이츠 배달원 13만5000여 명의 개인정보가 유출됐고, 같은 해 쿠팡 앱 검색창과 광고 배너 영역에서 회원 31만여 명의 이름과 주소 일부가 노출됐다. 2023년에는 판매자 전용 시스템 ‘윙(Wing)’에서 주문자·수취인 정보 2만2000여 건이 노출됐다. 여기에 올해는 피해자 규모가 3370만 명에 달하는 사상 최대 규모 유출 사고까지 발생했다.
특히 이번 사고는 기본적인 내부 권한 관리가 부실했던 점이 원인으로 지목되며 논란을 키웠다. 쿠팡은 지난해 인증을 갱신한 상태였지만 정보 유출이 시작된 이후 약 5개월이 지나서야 이상 징후를 발견했다. 한국인터넷진흥원(KISA) 자료에 따르면 쿠팡은 올해 890억 원의 보안 투자를 진행해 유통업계 최고 수준의 예산을 투입했음에도 불구하고, 직원 퇴사 후에도 주요 시스템 접근 권한을 유지하도록 방치한 점, 액세스 토큰 생성에 활용되는 서명키(인증키)의 유효 기간을 5~10년으로 설정한 채 갱신·폐기를 하지 않았던 점 등이 사고의 주요 원인으로 드러났다.
최민희 국회 과학기술정보방송통신위원장은 “장기 유효 인증키를 방치한 것은 단순한 직원 일탈이 아니라 조직 차원의 구조적 관리 부실”이라며 “쿠팡의 인증 체계 운영 전반에 문제가 드러난 것”이라고 강조했다.
◈인증의 한계와 반복되는 사고
ISMS-P 인증은 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합해 2018년부터 시행되고 있다. 관리체계 16개 영역, 보호대책 64개 항목, 개인정보 처리 단계별 요구사항 21개 등 총 101개 기준을 충족해야 한다. 그러나 이러한 제도적 기준을 충족했음에도 기업들이 실제 사이버 공격과 내부 통제 실패 앞에서 반복적으로 사고를 겪으면서 인증의 효용성에 의문이 제기되고 있다.
한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 개인정보위가 장관급 기관으로 승격된 2020년 이후 현재까지 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생했다. 인증을 취득한 기업조차 보안을 완전히 담보하지 못한 셈이다.
전문가들은 인증 심사 방식 자체가 구조적 한계를 갖고 있다고 지적한다. ISMS-P는 3년의 유효 기간 동안 매년 한 차례 사후 심사를 진행하는데, 이 심사는 특정 시점의 보안 상태를 살펴보는 ‘스냅샷 방식’이다. 원유재 충남대학교 교수는 “심사 기간은 보통 일주일에 불과하며, 이 기간만 보안 수준을 맞춰도 인증을 획득할 수 있다”며 “해커들은 365일 24시간 침투 기회를 노려 공격하는 만큼 인증과 실제 위협 사이에는 간극이 존재할 수밖에 없다”고 말했다.
그는 이어 “보안 취약점은 연 1회 심사 시점에만 생기는 것이 아니라 수시로 발생한다”며 “인증은 최소한 갖춰야 할 절차적 요건을 확인하는 수준일 뿐이며, 이후 기업이 얼마나 지속적으로 취약점을 점검하고 관리하는지가 실질적 보안 역량을 좌우한다”고 지적했다.
업계 관계자들도 “ISMS-P는 실시간 위협을 방어하는 장치가 아니라 법적·절차적 기준 충족 여부를 확인하는 제도에 불과하다”며 “인증 취득을 ‘보안 안전지대’로 오해해 홍보 수단으로 활용하는 관행이 오히려 사고를 키우고 있다”고 설명했다.
◈정부, 인증 제도 개선 및 사후관리 강화 추진
정부는 잇따른 대규모 침해사고 이후 인증 제도의 개편 작업에 나섰다. 서면 중심 심사를 현장 중심 점검으로 전환하고, 중대한 결함 발견 시 인증을 취소할 수 있도록 제도를 강화할 계획이다. 또한 모의해킹 훈련을 확대하고, 화이트해커를 활용한 상시 취약점 점검 체계를 구축해 보안 대응력을 끌어올리겠다는 방침도 내놓았다.
ISMS-P 인증이 단순한 ‘면허증’ 역할을 넘어서 실제 보안 체계 강화로 이어지기 위해서는 기업 내부의 지속적인 보안 관리와 책임 있는 투자, 그리고 제도의 현실 반영력이 함께 요구되고 있다.