‘보안 수준 최고인데, 개인정보 유출?’ ISMS-P 인증 실효성 논란

[일요신문] 한국인터넷진흥원(KISA)과 금융보안원이 정보보호 및 개인정보보호 관리체계를 인증하는 ISMS-P에 대한 실효성 논란이 제기되고 있다. 국내 최고 수준의 ISMS-P 인증을 받은 업체에서도 개인정보 유출 사고가 터졌기 때문이다. 관리체계를 두고 사후약방문이라는 평가도 나온다. 보안 인증 심사를 수시로 이행하는 한편, 사이버 보안 당국 체계에 대한 점검이 필요하다고 전문가들은 제언했다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회(개보위)가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기부의 ‘정보보호 관리체계 인증(ISMS)’과 개보위의 ‘개인정보보호 관리체계 인증(PIMS)’을 통합한 것이다.

ISMS-P 심사는 △한국정보통신진흥협회(KAIT) △한국정보통신기술협회(TTA) △개인정보보호협회(OPA) △차세대정보보안인증원(NISC)이 담당한다. ISMS-P 인증기관인 KISA와 금융보안원은 심사 결과를 토대로 최종 인증 여부를 결정한다. KISA는 인증 이후에도 사후 심사 등을 통해 인증 지속 여부를 판단한다. 

하지만 ISMS-P 인증을 받고도 개인정보 유출 사고가 발생한 기업들이 속출하자 실효성 논란이 불거지고 있다. 쿠팡은 2021년 3월과 2024년 3월 로켓배송과 쿠팡이츠 등 전체 서비스에 대해서 두 차례 ISMS-P 인증을 받았다. 그러나 최근 약 3370만 명의 개인정보가 유출된 사건을 포함해 2021년부터 올해까지 총 4건의 개인정보 유출이 발생했다.

올해 개인정보 유출 사고를 겪은 SK텔레콤(SKT), KT, 롯데카드, 예스24, 넷마블 등도 ISMS-P 인증 보유 기업이다. 개보위에 따르면 ISMS-P 인증을 받은 263개 기업 중 27개 기업에서 최근 5년간 총 33건의 개인정보 유출 사고가 발생한 것으로 집계됐다.

이와 관련, ISMS-P 등 보안 인증과 관련된 사후 심사의 문제점을 제기하는 목소리도 나온다. 국회 정무위원회 소속 한창민 사회민주당 의원은 12월 3일 열린 쿠팡 해킹 사태 관련 현안질의에서 “ISMS-P 사후심사는 특정 시점, 약 5일 동안만 관리체계가 작동하는지 확인하는 일종의 ‘스냅샷(Snapshot)’ 점검에 그친다”고 말했다.

한국인공지능법학회장인 최경진 가천대학교 법학과 교수는 “보안 인증 심사가 서류 중심으로 이뤄지는 것과 더불어 단선적인 특정 시점 중심 평가에서 탈피해야 한다”며 “보안 인증 각 항목을 수시로 이행하는 것을 기본 요건으로 개선하는 방안이 필요해 보인다”고 말했다.

박기웅 세종대학교 정보보호학과 교수는 “쿠팡이 취득한 ISMS-P나 ‘ISO 27001’ 같은 인증은 기본적인 관리체계와 관련해 최소 기준을 갖췄는지 보는 제도이기 때문에 무조건 안전하다고 과신하면 안 되는 측면이 있다”며 “현장에서 벌어지는 실제 위협과 대응 수준을 보장해주는 데 근본적인 한계가 있다. 실전역량이나 지속대응역량 등을 검증하고 지속적으로 평가하는 체계를 보완하는 논의가 필요하다”고 말했다.

이와 관련, KISA 관계자는 “ISMS-P 제도 운영은 KISA가 맡고 있지만, 개인정보보호법에 기반해서 운영되고 있다”며 “제도 개선과 관련해서는 개보위가 담당하고 있다”고 말혔다. 송경희 개인정보보호위원장은 국회 정무위원회 현안질의에서 “예비심사 도입, 현장심사 확대, 인증 후 매년 모의해킹 등을 통해 실질적인 운영 상황을 점검하겠다”고 밝혔다.

정부 민관합동조사단 등 사이버 보안 당국의 인력이 부족하다는 지적도 나온다. 이해민 조국혁신당 의원은 지난 2일 국회 과학기술정보방송통신위원회 쿠팡 현안질의에서 “현재 민관합동조사단 인력이 SKT 조사단(11명)보다 줄어든 8명으로, 그 중 민간 전문가는 1명”이라며 “해킹 사고가 반복돼 인력이나 예산상의 문제가 있다. 귀책사유가 있는 기업이 조사단 운영비 전부를 부담하는 정보통신망법 개정안을 발의할 예정”이라고 말했다.

권헌영 고려대학교 정보보호대학원 교수는 “KISA는 과거 한국정보보호진흥원으로 출발했으나 인터넷 진흥, 정보통신 국제협력, 개인정보 보호 기능 등을 통폐합했다”며 “화이트 해커나 조사 역량을 갖춘 직원들을 전문적으로 많이 양성하기가 어려웠을 것”이라고 밝혔다.

황석진 동국대학교 국제정보보호대학원 교수는 “평소보다 최근 대형 사고가 연달아 발생했기 때문에 인력난에 시달리는 측면이 있다”며 “사고가 많이 발생하지 않는 시점에서는 상주하는 직원이 많으면 인력 낭비라는 평가를 받을 수 있다. 전문가 등 외부 인력을 탄력적으로 운영해보는 방법이 있다”고 제언했다.

한편, 사이버 보안 당국의 컨트롤타워가 제대로 작동하지 않는다는 비판도 나온다. 인공지능안전연구소장인 김명주 서울여자대학교 지능정보보호학부 교수는 “개인정보 유출 사고가 발생하면 개보위, 정보보호 침해 사고가 벌어지면 과기부, 국가안보와 연관돼 있으면 국가정보원이 투입된다”며 “개인정보 유출과 정보보호 침해가 동시에 발생하는 경우도 있는데, 어느 부처가 투입되는지 따지다보면 혼선이 생길 수 있기 때문에 사이버 공격에 대해서 모두 총괄하는 부처를 만들자는 의견이 제시되기도 한다”고 말했다.

권헌영 교수도 “개보위, 과기부, 국정원뿐만 아니라 경찰, 금융보안원도 사이버 위협 대응이나 수사를 담당하고 있는데, 현장에서 부처별 권한 조정이나 협력이 잘 안 된다는 이야기들이 많이 나온다”며 “대통령실이나 국무조정실 차원에서 면밀한 검토와 체계 정리가 필요해 보인다”고 밝혔다.

노영현 기자 nogoon@ilyo.co.kr