▲ (출처:알파경제 유튜브)

 

[알파경제=영상제작국] 국가 공인 정보보호 인증인 'ISMS-P'를 획득한 기업들에서 대규모 해킹 피해가 발생하며 제도의 실효성에 대한 논란이 거세지고 있습니다. 특히 보안 전문 기업조차 기본적인 보안 수칙을 지키지 않은 사실이 드러나면서, 현행 인증 제도가 형식적인 '스냅샷 심사'에 그치고 있다는 비판이 제기됩니다.

지난 10월, 국내 최대 융합보안 기업인 SK쉴더스가 신생 랜섬웨어 조직 '블랙쉬란택'의 공격을 받아 약 15GB 분량의 내부 자료를 탈취당하는 사건이 발생했습니다. 유출된 정보에는 고객사 관리자 계정, 비밀번호, 보안 네트워크 시스템 정보 등 민감한 보안 정보가 포함되어 있었으며, 피해 대상은 SK텔레콤을 포함한 금융기관 15곳, 민간 기업 120곳, 일부 공공기관에 달했습니다. SK쉴더스 측은 사고 인지 후에도 초기에는 '가짜 문서 유출'이라며 사태를 축소하려 했으나, 직원의 업무 자료 개인 이메일 전송 사실이 확인되면서 입장을 번복했습니다. 이는 ISMS-P 인증 기준인 '정보자산 분류' 및 '보안 구역 지정' 항목 위반에 해당한다는 지적입니다.

쿠팡 역시 ISMS-P 인증 유효 기간 중 총 4건의 정보 유출 사고를 겪었습니다. 2021년과 2024년 두 차례 인증을 획득했음에도 불구하고, 앱 업데이트 테스트 소홀, 배달원 정보 유출, 판매자 시스템 오류 등 크고 작은 사고가 이어졌습니다. 특히 최근 발생한 3370만 건의 고객 계정 정보 유출 사고는 퇴직한 중국인 직원이 5개월간 인증키에 접근할 수 있었던 것으로 파악되었습니다. 이는 ISMS-P 인증 기준인 '외부자 보안 이행 관리' 및 '접근 권한 관리' 규정을 위반한 것으로, 개인정보보호위원회는 내부자 통제 미흡을 ISMS-P 위반 사항으로 명시했습니다.

개인정보보호위원회 통계에 따르면 2020년 이후 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생했습니다. 올해 들어서만 SK텔레콤, KT, 롯데카드, 예스24, 넷마블, 쿠팡 등 다수의 인증 보유 기업에서 사고가 발생하며 현행 심사 방식에 대한 개선 요구가 높아지고 있습니다. 현행 심사는 1년에 한 번, 특정 기간에만 진행되는 '스냅샷' 방식으로, 심사 기간 외 기업의 보안 운영 수준 변화를 제대로 반영하지 못한다는 한계가 지적됩니다. 이에 정부는 심사 방식을 현장 중심으로 전환하고, 대형 IT 플랫폼 사업자에 대한 기준을 강화하는 방안을 발표했으며, 쿠팡에 대한 인증 취소 검토 등 후속 조치를 예고했습니다. 보안 업계 관계자는 서류 중심 심사에서 벗어나 각 항목의 상시 이행 여부를 점검하는 방향으로 개선이 필요하다고 제언했습니다.
   

[ⓒ 알파경제. 무단전재-재배포 금지]