[현장] SK쉴더스→쿠팡까지, 정부 인증 무색했다... ISMS-P 실효성 도마 위

보안 전문 기업 SK쉴더스마저 허니팟 관리 부실로 120곳 피해
쿠팡 3370만 건 유출, 퇴직자 계정 5개월 방치하고도 인증 유지
'스냅샷 심사'의 맹점...1년 1회 점검으로 실시간 위협 못 잡아

이준현 기자

wtcloud83@alphabiz.co.kr | 2025-12-22 08:25:11

IT 보안사고. (사진=연합뉴스)

 

[알파경제=이준현 기자] 국가 공인 정보보호 인증인 ‘ISMS-P’를 획득한 기업들에서 대규모 해킹 피해가 잇따르며 제도의 실효성 논란이 커지고 있다.

특히 보안 전문 기업조차 기본 수칙을 지키지 않은 것으로 드러나면서, 현행 인증 제도가 단순한 '스냅샷 심사'에 그치고 있다는 지적이다.

◇ "가짜 문서라더니"…SK쉴더스, 고객사 정보 유출

지난 10월 발생한 SK쉴더스 해킹 사건은 국내 최대 융합보안 기업이 공격 대상이 되었다는 충격과 함께, 사측의 부실한 대응이 도마 위에 올랐다.

최수진 국회 과학기술정보방송통신위원회 의원실이 공개한 자료에 따르면, 신생 랜섬웨어 조직 '블랙쉬란택'은 SK쉴더스를 공격해 약 15GB 분량의 내부 자료를 탈취했다.

유출된 데이터에는 고객사 관리자 계정, 비밀번호, 보안 네트워크 시스템 정보 등 주요 보안 정보가 포함됐다.

피해 대상은 SK텔레콤을 포함한 금융기관 15곳, 민간 기업 120곳, 일부 공공기관 등이다. 보안 기업의 피해가 120개 이상 고객사의 보안 위험으로 이어진 사례다.

문제는 사고 인지와 대응 과정이었다. SK쉴더스가 실제 사고를 인지한 시점은 지난 10월 17일 오전 11시, 다크웹에 관련 자료가 게시된 직후였다.

당초 SK쉴더스 측은 "해커 유인용 허니팟(Honey Pot)에 심어둔 가짜 문서가 유출된 것"이라고 해명하며 사태를 축소하려 했다.

그러나 불과 하루 뒤인 18일, 입장은 번복됐다. SK쉴더스 측은 "조사 결과 직원이 업무 자료를 개인 지메일(Gmail) 계정으로 전송하는 과정에서 유출된 것으로 확인됐다"고 말을 바꿨으며, 이날 오전 10시 3분 한국인터넷진흥원(KISA)에 뒤늦게 신고했다.

결국 해커 유인용 '허니팟'이 오히려 공격 통로로 악용되었으며, 직원이 업무 자료를 개인 메일에 보관하는 등 기본적인 보안 수칙도 지켜지지 않았다.

이는 ISMS-P 인증 기준인 '정보자산 분류' 및 '보안 구역 지정' 항목 위반에 해당한다는 지적이다.
 

1일 서울 송파구 쿠팡 본사 부근 아파트에 쿠팡에서 발송된 택배 봉투가 놓여 있다. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. (사진=연합뉴스)


◇ 쿠팡, 인증 기간 중 4차례 유출... 퇴직자 계정 관리 미흡

지난달 29일 쿠팡은 고객 계정 정보 3370만 건이 유출됐다고 공시했다.

국회 정무위원회 한창민 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면, 쿠팡은 2021년 3월과 2024년 3월 두 차례 ISMS-P 인증을 획득했다.

그러나 인증 유효 기간 중 ▲2021년 10월 앱 업데이트 테스트 소홀(14건) ▲2021년 11월 쿠팡이츠 배달원 정보 유출(13만5000명) ▲2023년 12월 판매자 시스템 오류(2만2440명) 등 이번 사고를 포함해 총 4건의 유출 사고가 발생했다.

과방위원장실 자료에 따르면 유출자로 추정되는 인물은 인증 관련 업무를 담당했던 중국인 퇴직 직원이다. 퇴사 후 5개월간 인증키가 폐기되지 않아 해당 직원이 정보에 접근할 수 있었던 것으로 파악됐다.

ISMS-P 인증 기준은 '외부자 보안 이행 관리'와 '접근 권한 관리'를 통해 퇴직자 계정을 즉시 회수하거나 비활성화하도록 규정하고 있다.

송경희 개인정보보호위원회 위원장은 17일 국회 청문회에서 "내부자 통제 미흡은 ISMS-P 위반 사항"이라고 밝혔다.

쿠팡 측은 지난 6월 24일부터 해외 서버를 통한 무단 접근이 있었으나, 11월 18일 고객 민원 접수 후 침해 사실을 인지했다.
 

송경희 개인정보보호위원장이 6일 정부서울청사에서 열린 ISMS-P 인증 개선 관련 회의에서 발언을 하고 있다. (사진=연합뉴스)


◇ ISMS-P 심사 방식 한계... '스냅샷' 점검 논란

개인정보위 통계에 따르면 2020년 이후 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생했다.

올해 들어서만 SK텔레콤, KT, 롯데카드, 예스24, 넷마블, 쿠팡 등 인증 보유 기업에서 사고가 발생했다.

ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 정보보호 및 개인정보보호 관리체계 인증제도다. 일각에서는 현행 심사 방식에 개선이 필요하다는 의견이 나온다.

현행 심사는 1년에 한 번, 특정 기간에만 진행되는 이른바 '스냅샷' 방식이다. 심사 기간 외에는 기업의 보안 운영 수준이 달라질 수 있다는 맹점이 있다.

한창민 의원은 지난 3일 국회 질의에서 "사후심사가 특정 시점 5일 동안의 관리체계 작동 여부만 확인하는 수준"이라고 지적했다. 권헌영 고려대 정보보호대학원 교수 또한 "실질 심사보다 형식적 심사에 그칠 가능성이 있다"고 설명했다.

현행법상 ISMS-P 인증 취득 여부가 과징금 산정 시 감경 사유로 적용되는 점도 문제로 지적된다. 기업이 실질적인 보안 강화보다 인증 유지에 집중하게 만드는 요인이 될 수 있다는 것이다.

정부는 지난 10월 심사 방식을 현장 중심으로 전환하고, 대형 IT 플랫폼 사업자를 '고위험산업군'으로 지정해 기준을 강화하겠다고 발표했다. 개인정보위는 쿠팡에 대한 인증 취소 검토 등 후속 조치를 예고했다.

한 보안업계 관계자는 "서류 중심 심사에서 벗어나 각 항목의 상시 이행 여부를 점검하는 방향으로 개선돼야 한다"고 제언했다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]