'ISMS-P 인증'에도 쿠팡 유출 사고…보안인증제 허점

(서울=뉴스1) 김민수 이기범 기자 = 쿠팡에서 3370만건 규모의 개인정보가 유출되는 사고가 터지며 정보보호·개인정보보호 관리체계(ISMS-P) 인증제도 실효성 논란이 커지고 있다. 쿠팡은 2021년 최초 인증을 받았고 지난해 3월 갱신 심사를 통과한 상태였다.

'안전한 기업'이라는 인증을 받았음에도 대형 사고가 발생했다.

1일 업계에 따르면 쿠팡뿐 아니라 최근 ISMS-P 인증을 획득한 기업들에서 연이어 정보 유출 사고가 발생했다. 올해만 SK텔레콤, 롯데카드, KT 등 주요 기업들이 연속적으로 해킹 피해를 봤다.

ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 내부 보안 정책 수립 여부, 위험 관리 절차, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 폭넓게 평가해 인증 여부를 결정한다.

그러나 최근 사례들은 인증 기업이 곧 안전한 기업이라는 전제가 더 이상 성립하기 어렵다는 점을 보여준다.

이번 쿠팡 사고에서 가장 큰 문제로 지목되는 부분은 퇴사한 직원이 장기간 유효한 인증키를 악용해 내부 관리 시스템에 접근했을 가능성이다.

접근 권한 회수 절차, 인증키·토큰의 만료 정책은 기업 보안에서 기본 중 기본인 통제 항목인데, 이를 놓쳤다면 쿠팡 보안 체계 자체가 허술했다는 의미가 된다.

현재 ISMS-P 인증 유효기간은 3년이다. 이 기간에 기업은 매년 사후 심사를 받지만, 상시적인 검증 체계가 없다. 핵심 시스템 변경이나 신규 기능 배포가 빈번한 플랫폼 기업 환경을 따라가기에는 턱없이 부족하다.

또 다른 구조적 문제는 '인증 범위'다. 기업은 인증을 받을 서비스와 시스템 범위를 선택할 수 있는데, 이 범위가 실제 운영 영역과 다를 수 있다. 플랫폼 기업들의 경우 물류·결제 등 수백 개 시스템이 얽혀 있어 일부 시스템이 인증 범위에서 벗어나는 일이 흔하다. 제도 자체가 기업 전체의 보안을 보장하는 장치는 아니라는 의미다.

최경진 가천대 법학과 교수는 '인증제도 무용론'을 경계하면서도 제도를 점검할 필요가 있다고 제언한다.

최 교수는 "만약 인증 제도조차도 없었다면 기업들이 보안 점검에 더 허술했을 것"이라면서도 "AI 전환 시대에 지능화된 공격이 이어지고 있어 기존 ISMS-P만으론 부족하다"고 말했다. 다만 최 교수는 "사업자들이 상시 점검에 항상 매달려 있을 수 없기 때문에 합리적인 경계선을 찾아야 한다"고 덧붙였다.

kxmxs4104@news1.kr