ISMS-P 인증받고도 개인정보 털린 기업 27개 달해

최근 5년간 개인정보보호 관리체계 인증(ISMS-P·개인정보보호위원회 소관)을 받고도 개인정보 유출로 과징금이나 과태료 처분을 받은 기업·기관이 27곳에 달하는 것으로 나타났다.

5일 국회 정무위원회 소속 이정문 더불어민주당 의원이 개인정보위로부터 제출받은 ‘2020년 8월~2025년 7월 ISMS-P 인증 기업·기관 징계 현황’ 자료에 따르면, 2021년에는 KT알파, GS리테일, KT가 ISMS-P 인증을 받고도 개인정보위 징계를 받았다.

2022년에는 LG유플러스, 누리미디어, 쿠팡, 현대백화점, G마켓이 처분을 받았다. 2023년에는 에스씨케이컴퍼니(스타벅스 운영사), 삼성증권, 그린카, 카카오, SK텔레콤, 여기어때, LG유플러스, 서울특별시, 한국남부발전 등이 징계를 받았다.

2024년에는 GS리테일, 호텔신라, 사람인에이치알, CJ올리브영, 넥슨코리아, GS건설, 롯데건설, 쿠팡이 징계 대상에 포함됐다. 올해는 동행복권과 우리카드가 해당됐다.

이 가운데 개인정보보호법상 ‘72시간 내 유출 사실을 신고해야 하는 의무’를 지키지 않은 곳은 KT알파, KT, G마켓, 에스씨케이컴퍼니, 카카오, SK텔레콤, LG유플러스, 서울특별시, 한국남부발전, 사람인에이치알, CJ올리브영, 넥슨코리아, 쿠팡 등 13곳이다. 개인정보보호법 제34조는 개인정보 유출 사실을 인지하면 72시간 이내 정보주체에게 통지하도록 규정하고 있다.

올해 9월 15일 기준 발급된 ISMS-P 인증은 총 414개다. 이 중 유효기간(3년)이 만료된 121개를 제외하면 현재 유효한 인증은 293개다.

이정문 의원은 “ISMS-P 인증이 형식적 절차에 머물지 않도록 사후 관리와 평가 체계를 강화해야 한다”며 “인증 제도의 신뢰성을 높이고, 기업들이 실제 개인정보 보호 역량을 지속적으로 개선하도록 유도하는 것이 무엇보다 중요하다”고 강조했다.

김광연 기자
fun3503@chosunbiz.com