2016년부터 정부의 보안인증을 받은 기업이 보유한 개인정보가 무더기로 유출됨에 따라 정부의 제도 자체가 유명무실한 것 아니냐는 지적이 나온다.
한국인터넷진흥원(KISA)은 정보보호관리체계인증(ISMS)과 개인정보보호관리체계인증(PIMS) 등 보안 관련 인증제도를 운영 중이다. ISMS는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 접한한지를 심사해 인증을 부여하는 제도다. PIMS는 기관·기업이 ISMS를 갖추고 체계적·지속적으로 보호업무를 수행하는지에 대해 객관적으로 심사한 후 기준을 만족할 때 인증을 부여하는 제도다.
17일 박홍근(사진) 국회 과학기술정보방송통신위원회 소속 의원(더불어민주당)이 KISA에서 제출받은 '개인정보유출 신고 접수현황(2016~2017.8)'자료를 분석한 결과, 예스24·아시아나항공·한빛소프트·인터파크·CJ헬로비전·위메프·LG유플러스 등 7개 기업은 ISMS 인증을 받고도 개인정보 유출사고를 낸 것으로 나타났다. 인터파크의 경우 ISMS뿐 아니라 PIMS 인증까지 모두 받았지만 개인정보 유출사고가 발생해 인증제도 자체가 유명무실한 것 아니냐는 것이다.
보안인증을 받으려면 수수료 이외에 준비·점검·갱신 등을 할 때 추가비용이 발생하는데, 과태료가 3000만원에 불과해 기업 입장에서 이런 부담을 지는 것보다 과태료를 무는 것이 더 낫다는 생각을 하게 만들 수 있다.
박 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했지만, 인증을 받은 기업의 개인정보가 유출되는 사고가 반복해서 발생하는 있다"며 "개인정보 유출 등 보안사고가 발생한 기업의 인증을 취소하고, 재인증 시 일정 정도 제약을 두는 등 엄격한 관리가 필요하다"고 말했다.