현행 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고도 해킹 사고에 휘말리는 기업들이 늘어나자 제도 실효성에 의문이 제기된다.
12일 과학기술정보통신부·개인정보보호위원회·한국인터넷진흥원(KISA)가 발간한 'ISMS-P 인증제도 안내서'에 따르면 ISMS-P 인증에는 정보보호 중심으로 인증하는 정보보호관리체계 인증(ISMS·과기정통부 소관)과 개인정보의 흐름과 정보보호 영역을 모두 인증하는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P·개인정보위 소관)이 있다.
ISMS-P 인증제도는 인증 신청 기업의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 KISA 또는 인증기관이 증명하는 것을 말한다.
인증기준 세부점검항목에 따르면 '사고 예방 및 대응' 항목이 포함됐다. 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하게 대응하는지, 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하는지, 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는지 등을 평가받는다.
SK텔레콤은 ISMS와 ISMS-P를 동시에 취득하며 정보보호 및 개인정보보호 활동을 공인받았다. 하지만 2700만 가입자 유심 정보를 해킹당하며 인증 무용론이 제기됐다.
다른 통신사도 마찬가지 사정이다. 앞서 LG유플러스는 2022년 ISMS와 ISMS-P 취득하고도 2023년 고객 30만명 개인정보 유출 사고를 막지 못했다. KT 역시 ISMS 인증을 받았으나 2014년 고객 1200만명 개인정보 유출된 사고를 막지 못했다는 비판을 들었다.
통신사 뿐만 아니라 최근 국민 절반 수준인 2000만명이 이용하는 온라인 서점 예스24도 2023년 ISMS-P를 취득했으나 최근 해킹 공격을 당했다.
국회를 중심으로 ISMS-P 인증제도를 개선하려는 움직임이 힘을 얻는 이유다.
김상훈 국민의힘 의원은 6월 11일 정보보호 인증제도의 실효성을 높이는 정보통신망법 개정안을 발의했다. 이번 개정안에는 이동통신사 등 보안 관련 고위험 산업군에 대해서는 보다 엄격한 인증 기준을 적용할 수 있도록 하고 정보보호 관련 법령의 중대한 위반 시에 인증을 취소할 수 있도록 했다.
국회 입법조사처도 ISMS-P 인증제도가 형식적으로 운영되지 않고 있다며 실제 이동통신사의 보안 위협에 대한 효과적 대응수단이 될 수 있도록 인증체계 전반에 대한 개선과 함께 인증에 대한 관리·감독 체계를 강화해야 한다고 주문했다.
업계 관계자는 "한번 인증을 받으면 별 탈 없이 갱신되고 취소되는 경우도 없었다"며 "ISMS-P 인증제도 자체에 대한 개선이 필요하다"고 밝혔다.
김광연 기자
fun3503@chosunbiz.com