쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마

롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사고가 발생하면서 정보보호·개인정보보호 관리체계(ISMS-P) 인증제 실효성 논란이 더욱 거세지고 있다. 롯데카드는 ISMS-P 인증을 획득한 지 이틀만에 침해사고를 겪었고, 쿠팡은 2021년 최초 인증 획득 후 갱신까지 마친 상태였다. 1일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료한 상태였으나, 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사 중이다. 쿠팡은 올해 6월 24일부터 개인정보에 외부 접근이 이뤄진 것으로 추정하고 있다. 그러나 개인정보 유출을 인지한 시점은 지난달 18일로, 현재 경찰청, 한국인터넷진흥원(KISA), 개인정보보호위원회 등에 신고를 마친 상태다. 침해사고의 원인은 퇴사자 인증키 방치가 지목된다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 1일 "쿠팡 로그인 시스템 토큰 생성에 필요한 서명 정보를 담당하던 직원이 퇴사했음에도 권한을 삭제하거나 갱신하지 않고 방치해 퇴사한 내부 직원이 이를 악용한 것"이라고 분석했다. 회사는 무단 접근 경로를 차단했으며, 무단 접근 경로를 차단하고 내부 모니터링을 강화했다는 것이 쿠팡 측 설명이다. ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 보안 정책 수립 여부, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 평가한다. 그러나 롯데카드 사태 때부터 이번 쿠팡까지 ISMS-P 인증을 받은 기업들의 잇단 침해사고가 터져 나오면서 인증 자체의 실효성에 대한 실효성 논란이 불거지고 있다. 상시적인 검증 체계도 없고 형식적인 문서적 검사에 그치는 것이 아니냐는 지적이 나오는 것이다. ISMS-P 인증을 주관하는 한국인터넷진흥원(KISA)의 원장을 지낸 이원태 국민대 특임교수 역시 이번 사태를 계기로 ISMS-P 인증 체계에 대한 지적을 자신의 SNS에 남겼다. 그는 "쿠팡은 정부가 인증하는 정보보호 관리체계(ISMS-P)를 취득하고 갱신까지 한 기업이었다"며 "인증을 받고도 기본적인 퇴사자 권한 관리조차 작동하지 않았다는 사실은, 현재의 제도가 실질적 방어력보다는 문서와 절차를 맞추는 '보안 극장(Security Theater)'에 불과함을 여실히 보여준다"고 비판했다. 이 교수는 현행 ISMS-P 등 문서 중심 인증 체계를 실시간 행위 기반 모니터링 중심으로 전환할 것을 주문했다. ISMS-P 인증이 실효성 논란을 빚자 개인정보보호위원회는 이를 개선하겠다고 밝혔다. 송경희 개인정보보호위원회 위원장은 지난달 5일 서울 종로구 정부서울청사에서 열린 '출입기자단 브리핑'에서 현재 유효기간이 3년인데, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하겠다고 말했다. 또 예비심사제도 새로 도입하고 공공기관도 ISMS-P 인증 의무화를 단계적으로 추진하겠다고 밝혔다. 현재 2억에 불과한 관련 예산도 내년에는 증액할 예정이다.