"정부의 ISMS·PIMS 보안인증 유명무실하다"

유진상 기자
입력 2017.10.17 16:30
2016년부터 정부의 보안인증을 받은 기업이 보유한 개인정보가 무더기로 유출됨에 따라 정부의 제도 자체가 유명무실한 것 아니냐는 지적이 나온다.

한국인터넷진흥원(KISA)은 정보보호관리체계인증(ISMS)과 개인정보보호관리체계인증(PIMS) 등 보안 관련 인증제도를 운영 중이다. ISMS는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 접한한지를 심사해 인증을 부여하는 제도다. PIMS는 기관·기업이 ISMS를 갖추고 체계적·지속적으로 보호업무를 수행하는지에 대해 객관적으로 심사한 후 기준을 만족할 때 인증을 부여하는 제도다.

17일 박홍근(사진) 국회 과학기술정보방송통신위원회 소속 의원(더불어민주당)이 KISA에서 제출받은 '개인정보유출 신고 접수현황(2016~2017.8)'자료를 분석한 결과, 예스24·아시아나항공·한빛소프트·인터파크·CJ헬로비전·위메프·LG유플러스 등 7개 기업은 ISMS 인증을 받고도 개인정보 유출사고를 낸 것으로 나타났다. 인터파크의 경우 ISMS뿐 아니라 PIMS 인증까지 모두 받았지만 개인정보 유출사고가 발생해 인증제도 자체가 유명무실한 것 아니냐는 것이다.

개인정보유출 신고 접수된 기관 중 ISMS인증 받은 기관 목록. / 박홍근 의원실 제공
더 큰 문제는 한번 인증을 받으면 개인정보 유출사고가 발생하더라도 인증이 취소되지 않는다는 점이다. 정부는 인증기업이 개인정보를 유출했더라도 아무런 제재없이 또 다시 인증을 내준다.

보안인증을 받으려면 수수료 이외에 준비·점검·갱신 등을 할 때 추가비용이 발생하는데, 과태료가 3000만원에 불과해 기업 입장에서 이런 부담을 지는 것보다 과태료를 무는 것이 더 낫다는 생각을 하게 만들 수 있다.

박 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했지만, 인증을 받은 기업의 개인정보가 유출되는 사고가 반복해서 발생하는 있다"며 "개인정보 유출 등 보안사고가 발생한 기업의 인증을 취소하고, 재인증 시 일정 정도 제약을 두는 등 엄격한 관리가 필요하다"고 말했다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기