국가 최고 보안 인증을 들고도 개인정보가 줄줄 새는 기업들이 속출하면서, ISMS-P(정보보호 및 개인정보보호 관리체계)가 제 역할을 못한 '보안 허상'이라는 비판이 정면으로 올라왔다. 국내 최고 수준의 정보보호 및 개인정보보호 통합 인증제도에도 불구하고 내부자 유출은 물론 외부 해킹 등으로부터 개인정보를 보호하는 데 실패한 것이다. 인증이 '보안 면죄부'가 될 수 없다는 사실이 확인되면서, 현행 인증 제도의 실효성에 대한 비판이 거세지고 있다.

30일 <메트로경제 신문> 취재 결과, IT업계 안팎으로 ISMS-P의 실효성에 대한 의문이 제기되고 있다. 최근 ISMS-P 인증을 보유한 기업인 쿠팡은 내부자에 의한 개인정보 유출 사고를 겪어 3370만 명이 넘는 고객의 이름과 전화번호, 주소 등이 유출됐다.

이날 국회 정무위원회 한창민 의원실과 개인정보보호위원회 자료에 따르면, 쿠팡은 2021년 ISMS-P 최초 인증을 획득하고 올해 갱신 심사까지 통과했다. ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 국내 최고 수준의 보안 관리 체계 인증으로, 정보통신서비스 부문 매출 100억 원 이상인 쿠팡은 의무 대상자다.

문제는 '인증'과 '실제 보안'의 괴리다. 쿠팡은 인증을 획득한 2021년부터 올해까지 총 4차례의 굵직한 유출 사고를 냈다.

2021년에는 앱 업데이트 과정에서 테스트 소홀로 14건의 정보가 유출됐고, 배달 서비스인 '쿠팡이츠'에서는 배달원 13만5000명의 개인정보가 고스란히 노출됐다. 당시 쿠팡은 "안심번호를 쓴다"고 했지만, 실제로는 배달원의 실명과 휴대전화 번호가 음식점에 그대로 넘어갔다. 지난해 12월에는 판매자 시스템 '윙(Wing)'의 로직 오류로 2만 명 이상의 고객 정보가 타인에게 노출됐다. 급기야 이번 달에는 내부자에 의해 무려 3370만 개의 계정 정보가 유출되는 사고가 발생했다. 인증 마크가 무색해지는 순간이었다.

이번 쿠팡의 내부자 유출 사태에 앞서서는 SK텔레콤과 KT, 롯데카드 등이 ISMS-P 인증을 획득하고도 해킹에 의해 개인정보가 유출되는 사태가 벌어진 바 있다.

전문가들은 연이어 일어난 ISMS-P 인증 기업들의 개인정보 유출 사태가 단순한 기업의 실수를 넘어 ISMS-P 제도의 구조적 한계를 보여준다고 입을 모은다.

첫째, 인증이 '스냅샷(Snapshot)'에 불과하다는 점이다. ISMS-P는 심사받는 그 시점의 보안 상태를 점검한다. 하지만 IT 환경은 매일 변하고 해킹 기법은 진화한다. 롯데카드가 ISMS-P 인증을 받은 바로 다음 날 해킹을 당한 사례나, 통신 3사가 모두 인증을 보유하고도 털린 사례는 인증이 '지속적인 보안'을 담보하지 못함을 방증한다.

둘째, '형식적 체크리스트' 심사의 한계다. 현재 심사는 101개의 항목을 서류와 인터뷰 위주로 점검하는 방식에 치우쳐 있다.

김용대 카이스트 교수는 "심사원들이 보안 전문성은 있지만, 각 기업의 특수한 비즈니스 로직이나 인프라 깊숙한 곳의 허점까지 파악하기는 어렵다"고 지적했다.

쿠팡이츠 사례처럼 정책상으로는 '보호'한다고 되어 있어도, 실제 시스템 운영단에서 구멍이 나면 심사 과정에서 걸러내기 힘들다.

셋째, 기업들의 '면피용' 인식이다. 이정문 더불어민주당 의원실 자료에 따르면 최근 5년간 ISMS-P 인증을 받고도 유출 사고로 징계받은 기업은 27곳에 달한다. 많은 기업이 인증 획득을 '보안 투자의 끝'으로 인식하거나 법적 의무를 채우기 위한 '비용'으로만 접근하고 있다. 실제로 쿠팡을 비롯한 13개 기업은 유출 사실을 인지하고도 법적 의무인 '72시간 내 신고'조차 지키지 않았다. 기본조차 지켜지지 않은 셈이다.

업계에서는 ISMS-P가 무용지물인 것만은 아니라고 강조한다. 전문가들은 이 제도가 기업 보안의 '최소한의 기준선'을 제시하는 역할을 해왔다는 것이다.

보안 업계 관계자는 "해킹을 100% 막는 것은 불가능하다는 것을 전제로 해야 한다"며 "단순히 규정을 준수(Compliance)했느냐를 넘어, 사고가 났을 때 얼마나 빨리 탐지하고 복구할 수 있느냐는 '회복 탄력성(Resilience)'을 평가 지표에 포함해야 한다"고 강조했다.