쿠팡 사태에 더 커지는 ISMS-P 무용론 “인증 취소시켜라”

국회 “ISMS-P 받아도 정보 유출 못 막아, 자율 인증 말고 의무 관리·감독 체계로 바꿔야”

쿠팡의 3370만명 개인정보 유출 사태를 계기로 국가 정보보호 인증제도인 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’의 실효성 논란이 더 커지고 있다. 매년 심사를 통과해 인증을 유지해온 대기업에서 역대 최대 규모의 유출 사고가 발생하자, “인증이 보안을 담보하지 못하는 것 아니냐”는 ‘무용론’까지 제기됐다.

국회 정무위원회는 3일 열린 쿠팡 해킹 사태 관련 현안질의에서 “쿠팡처럼 대규모 유출 사고를 일으킨 기업이 여전히 ISMS-P 인증을 유지하고 있다”며 “인증 취소와 제도 전면 개편을 검토해야 한다”고 강하게 질타했다. 이에 개인정보보호위원회(이하 개인정보위) 송경희 위원장은 “쿠팡에 대한 인증 취소를 포함해 제도 개선 방안을 마련하겠다”고 답했다. 만약 개인정보위가 예고한 대로 쿠팡에 대한 인증 취소가 현실화될 경우, 이는 제도 도입 이후 유출 사고로 인해 강제로 취소가 된 첫 사례가 된다.

1년 중 5일만 보는 ‘스냅샷’ 심사, 지능형 공격엔 속수무책

국회 정무위 소속 한창민 사회민주당 의원은 이날 질의에서 현행 심사 방식의 구조적 한계를 지적했다. 한 의원은 “ISMS-P 사후심사는 특정 시점, 약 5일 동안만 관리체계가 작동하는지 확인하는 일종의 ‘스냅샷(Snapshot)’ 점검에 그친다”고 꼬집었다.

심사 기간에만 서류와 설정을 완벽하게 갖춰 놓으면 통과되는 구조 탓에 그 외의 기간에 발생하는 보안 공백이나 ‘임계치 미만의 저속 침투’와 같은 지능형 공격은 탐지하지 못한다는 것이다. 실제로 쿠팡에서 일어난 정보 탈취 공격은 5개월에 걸쳐 천천히 진행됐지만 정기 심사 과정에서는 이러한 이상 징후나 취약점이 발견되지 않은 것으로 파악됐다.

한 의원은 “정보보호 관리체계(ISMS)는 일정 규모 이상 사업자에게 의무지만, 개인정보 보호 요건을 더한 ISMS-P는 기업이 선택하는 ‘자율 인증’ 성격이 강하다”며 “고위험 개인정보를 다루는 빅테크 기업에 대해서는 이를 자율이 아닌 관리·감독 기반의 의무 체계로 전환해야 한다”고 주장했다.

계정·암호키 관리 조항 의미 퇴색, 형식적 체크리스트에 그쳐

김남근 더불어민주당 의원은 쿠팡 유출의 기술적 원인과 인증 심사의 괴리를 구체적으로 짚었다. 김 의원은 “ISMS-P 인증 기준에는 ‘사용자 계정 관리(2.5.1)’와 ‘암호키 관리(2.7.2)’ 항목이 명시되어 있다”며 “이 기준에 따르면 퇴직자의 계정과 접근 권한은 지체 없이 회수해야 하고, 중요한 서명키는 안전하게 폐기되거나 교체되어야 한다”고 설명했다.

이번 사고의 시발점은 퇴직자가 반납하지 않은 ‘서명키’였고, 이를 통해 관리자 권한이 탈취된 점이 핵심 원인으로 지목된다. 김 의원은 “핵심 통제 항목이 지켜지지 않았는데도 심사를 통과했다는 것은 심사가 실질적인 보안 태세를 점검하지 않고, 기업이 작성한 체크리스트를 확인하는 요식 행위로 전락했다는 증거”라고 비판했다.

추가로 인증이 사고 예방에 실패했음에도 불구하고, 사후 처벌을 줄여주는 ‘면죄부’로 작동할 여지가 있다는 점도 지적됐다. 현행 개인정보보호법 관련 규정에 따르면, 과징금 산정 시 기업이 ‘안전성 확보 조치’를 다했는지 판단하는 과정에서 ISMS-P 등의 인증 취득 여부가 감경 사유(최대 50% 범위 내 고려)로 작용할 수 있다. 송경희 위원장은 과징금 경감 부분에 대해서도 제도 개선을 검토하겠다고 답했다.

정무위 여야 의원들은 ▲중대 침해사고 발생 기업에 대한 인증 즉시 취소 및 재심사 의무화 ▲스냅샷 심사를 보완할 상시 모니터링 체계 도입 ▲과징금 감경 기준의 엄격한 적용 등을 주문했다. 이번 논란이 단순한 책임 공방을 넘어 ‘인증’ 중심의 국내 보안 체계를 실질적인 ‘책임’ 중심으로 변화시키는 기폭제가 될지 귀추가 주목된다.

글. 바이라인네트워크
곽중희 기자 <god8889@byline.network>