20년 전 기준으로 개인정보 관리...빠진 기업 '유출 사고'

이승배 2023. 11. 2. 16:52
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[앵커]

주민등록번호나 휴대전화, 집 주소 같은 개인정보는 각종 범죄에 악용될 수 있기 때문에 철저하게 관리해야 할 필요가 있습니다.

그런데 감사원이 정부가 기업들 개인정보를 어떻게 관리하고 있는지를 살펴봤더니, 20년 전에 만든 기준을 쓰고 있는 것으로 드러났습니다.

이승배 기자입니다.

[기자]

과기부는 지난 2013년부터 국내 기업 등을 대상으로 '정보보호 관리체계', ISMS 인증제를 운영하고 있습니다.

해킹으로 개인정보와 기업의 핵심 정보가 유출되는 것을 막기 위해 관리를 강화하자는 차원입니다.

한국인터넷진흥원이 업무를 위탁받아 수행하고 있습니다.

그런데 인증 의무 대상자 기준이 현실성이 떨어지는 것으로 드러났습니다.

현행법을 보면 SKT와 KT, LG유플러스 등 통신사와 데이터 센터, 대형 병원 등을 제외한 나머지는 매출액이 100억을 넘는 기업으로 제한을 뒀습니다.

여기에다 '인터넷을 통해 번 돈'만 해당한다는 추가 조건까지 달았습니다.

감사원이 이 기준을 언제 만들었는지 봤더니 지난 2004년이었습니다.

웜바이러스로 전국 인터넷이 멈춘 이른바 '인터넷 대란'이 일어난 바로 이듬해 만들었는데, 당시 기준을 20년이 다 된 지금까지 그대로 쓰고 있는 겁니다.

택배 회사와 가스·수도 업체, 온라인 학습지, 요양 병원 같은 곳도 개인정보를 많이 수집하지만, 스스로 인증을 받겠다고 손을 들지 않으면 정부 관리 대상에서 빠집니다.

이런 사각지대로 의무 대상자에서 빠진 기업 3곳은 실제 해킹 공격 등을 받았고, 2백만 건이 넘는 개인정보가 유출됐습니다.

해당 기업이 인증 심사만 받았어도 피해를 막았거나 줄일 수 있었다고 감사원은 지적했습니다.

[이정환 / 감사원 재정경제감사국 감사관 : 기준이 만들어진 지 약 20년이 되었습니다. 그 당시에는 합리적으로 보이지만 현재는 대부분 기업이 정보통신망을 이용해 개인정보를 수집 보유하고 있는데 따라서 사각지대가 발생할 수밖에 없어서 제도를 보완할 필요가 있습니다.]

개인정보 인증 사후 관리도 엉망이었습니다.

인증받은 기업은 매년 한 번 이상 사후 심사를 받아야 하는데, 지난 2020년부터 2년 동안 발급된 인증 480건 가운데 12.5%가 심사를 안 받았는데도 인증이 취소되지 않은 것으로 파악됐습니다.

감사원은 매출액에 상관없이 개인정보 보유현황에 따라 의무적으로 인증을 받게 기준을 보완하고 사후 심사 관리도 강화하라고 과기부에 통보했습니다.

YTN 이승배입니다.

촬영기자;문한수

영상편집;김지연

그래픽;박유동

YTN 이승배 (sbi@ytn.co.kr)

※ '당신의 제보가 뉴스가 됩니다'

[카카오톡] YTN 검색해 채널 추가

[전화] 02-398-8585

[메일] social@ytn.co.kr

[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]

Copyright © YTN. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?