"인증 받아도 해킹 공격엔 무방비"…정보보호 인증체계 손본다

언더아머·쿠팡·롯데카드 등 잇단 해킹
ISMS·ISMS-P 인증 제도 실효성 논란
정부, 심사 기준 강화 등 보완책 마련

정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 기업에서 개인정보 유출 사고가 잇달아 발생해 제도의 실효성 논란이 커지자 정부가 개선책 마련에 나섰다. 정부는 인증 의무 대상 확대와 기술 중심 심사 도입, 인증 사후관리 강화 등을 포함한 제도 강화방안을 수립한다는 방침이다.

13일 업계에 따르면 미국 스포츠용품 기업 언더아머는 최근 고객들에게 개인정보 유출 사실을 공지했다.

언더아머는 "외부 무단 침입자가 2025년 11월경 언더아머의 IT 시스템에 접근해 일부 고객의 개인정보를 취득한 사실을 인지했다"며 "인지 즉시 외부의 사이버보안 전문가들과 함께 조사를 개시해 침해의 성격과 범위, 영향을 받은 개인정보의 유형을 파악하기 시작했다"고 밝혔다. 이어 "올해 2월 12일께 고객 이메일 주소와 일부 고객의 이름, 성별 관련 정보가 포함된 개인정보가 영향을 받은 것으로 확인됐다"며 "모든 고객의 정보가 노출된 것은 아니다"라고 했다.

언더아머는 오는 2029년 3월 7일까지 유효한 ISMS 인증을 보유한 기업이다. 하지만 ISMS·ISMS-P 인증을 받은 기업에서 대규모 개인정보 유출 사고가 빈번하게 일어나면서 인증 제도가 기업의 실제 보안 역량을 반영하지 못하는 것 아니냐는 지적이 나온다. 앞서 개인정보보호위원회는 지난해 12월 기준 ISMS-P 인증을 받은 263개의 기업 중 27개 사에서 최근 5년간 33건의 개인정보 유출 사고가 발생했다고 밝힌 바 있다.

특히 쿠팡은 2021년, 2024년 두 차례에 걸쳐 ISMS-P 인증을 받았지만, 지난해 11월 약 3370만건의 개인정보 유출을 포함해 4건의 사고를 냈다. 롯데카드도 지난해 금융보안원으로부터 ISMS-P를 획득한 지 이틀 만에 온라인 간편결제 시스템이 해킹 공격을 받아 297만명의 개인 신용정보가 유출됐다. 넷마블 역시 2023년 ISMS-P 인증을 받았지만 지난해 PC 게임 포털사이트 해킹으로 약 611만명의 개인정보가 유출되는 사고를 겪었다.

이에 정부는 현장 의견을 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화방안'을 수립·발표하기로 했다. 송경희 개인정보위 위원장은 전날 제도 개선 간담회에서 "심사 시점에 발급받은 인증서로 만족하는 것이 아니라 일정 수준 이상의 보호 조치가 지속해서 유지될 수 있는 구조를 만들어야 한다"며 "인증 제도의 신뢰성 회복을 위해선 특정 시점에 한 번의 심사로 상태를 판단하는 스냅샷 방식의 한계를 극복해야 한다"고 강조했다.

정부는 앞으로 위험 수준에 따라 인증을 3단계(간편·표준·강화)로 구분한다는 계획이다. 특히 통신사, 대형 플랫폼 등 고위험군에는 강력한 인증 기준을 적용한다. 또 보안 사고의 주요 원인 중 하나인 외부 인터넷 연결 자산을 인증 범위에 포함한다. 기업이 임의로 서버나 클라우드 자산을 제외하고 인증받는 편법을 막겠다는 취지다. 본심사 전 핵심 항목(비밀번호 암호화, 최신 패치 등)을 미리 점검하는 단계를 만들어 준비가 미흡한 기업의 부실 인증도 사전에 차단한다.

아울러 전문 기술 인력과 심사 기간을 확대하고, 심사 주체에 대한 관리를 강화한다. 심사 품질이 미달하는 심사 기관에 업무 정지나 지정 취소 등 강력한 행정 처분을 내릴 수 있는 법적 근거를 만들기로 했다. 사후관리 차원에서 인증 취득 후 중대한 보안 사고가 발생하거나 개선 권고를 이행하지 않은 경우 인증을 취소할 수 있는 기준도 만든다.

류제명 과학기술정보통신부 제2차관은 "크고 작은 보안 사고가 빈번하게 발생하면서 인증제도의 실효성에 대한 근본적인 문제 제기가 나오고 있어, (건강에 비유해) 건강검진을 통해 인증제도가 건강을 지키는 역할을 충실히 하는지 돌아보려고 한다"며 "이번 계기로 우리나라 정보 보호 수준이 한 단계 더 발전할 수 있길 바란다"고 전했다.

노경조 기자 felizkj@asiae.co.kr
이은서 기자 libro@asiae.co.kr