[서울이코노미뉴스 박희만 기자] 정부가 정보보호·개인정보보호 관리 인증을 받은 기업·기관이라 하더라도 대규모 개인정보 유출사고를 일으킬 경우 인증을 취소하기로 했다.
피해규모가 1000만명 이상이면 원칙적으로 인증을 박탈하고, 피해규모가 상대적으로 작더라도 사고가 반복되거나 사회적 파장이 큰 경우 역시 취소대상에 포함된다.
3370만여명의 개인정보가 유출된 쿠팡 사태는 정부가 새로 마련한 인증 취소기준에 해당하는 것으로 평가된다.
정부가 앞서 쿠팡의 인증 취소여부를 검토하겠다고 밝힌 만큼, 이번 사례가 첫 인증 박탈사례가 될지 주목된다.
과학기술정보통신부와 개인정보보호위원회는 지난 29일 정보보호·개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소기준을 구체화한 방안을 확정했다.
현행 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’에 따르면 관련법령을 위반하고 그 사유가 중대한 경우 인증위원회의 심의·의결을 거쳐 인증을 취소할 수 있다.
다만 그동안 ‘중대한 위반’의 판단기준과 적용범위가 명확하지 않아 실제 인증취소로 이어진 사례는 없었다.
대규모 개인정보 유출사고가 발생해도 인증이 유지되는 사례가 반복되면서 제도의 실효성에 대한 지적이 이어져 왔다.
이에 과기정통부와 개인정보위는 한국인터넷진흥원(KISA), 금융보안원 등 인증기관과 논의를 거쳐 인증 취소기준을 구체화했다.
기준에 따르면 ▲ 1000만명 이상의 개인정보 유출피해 발생 ▲ 반복적인 법 위반 ▲ 고의 또는 중과실에 따른 위반으로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다.
또 사후관리 의무를 이행하지 않거나, 자료 제출을 거부·지연하거나, 허위 자료를 제출한 사실이 확인될 경우에도 인증 취소 대상이 된다.
점검 과정에서 중대결함이 발견되면 인증위원회 심의를 거쳐 인증을 취소할 수 있도록 했다.
이번 쿠팡 사고는 이러한 기준에 부합하는 사례로 평가된다. 3370만여명의 개인정보가 유출된 대규모 사고인데다, 접근권한 통제 등 기본적인 보안관리 원칙이 제대로 작동하지 않은 것으로 확인됐다.
쿠팡은 ISMS-P 인증을 받은 이후 최근 5년간 총 4차례의 개인정보 유출사고를 낸 것으로 알려졌으며, 지난해 인증을 갱신한 이후에도 사고가 발생했다.
사고에 대한 정부 조사결과는 내년 초 나올 예정이다.
최종 조사결과에 따라 과징금 부과 여부와 함께 ISMS-P 인증 유지 또는 취소 여부가 함께 결정될 전망이다.
정부가 마련한 이번 인증 취소기준은 가이드라인 성격으로, 법이나 고시 개정없이 즉각 적용이 가능하다.
이미 개인정보 유출사고가 발생했으나 처분이 확정되지 않은 조사 진행사안인 만큼, 인증위원회 심의과정에서 해당기준을 적용할 수 있다는 설명이다.
ISMS-P 인증위원회 운영은 KISA가 맡고 있다.
이상중 KISA 원장은 지난 3일 국회 정무위원회 쿠팡 침해사고 관련현안 질의에서 쿠팡의 ISMS-P 인증 취소여부를 검토하겠다고 밝힌 바 있다.
한편 쿠팡은 이번 유출사고와 관련해 자체 조사결과와 일부 조치사항을 발표했으나, 정부는 민관합동조사단과 협의되지 않은 발표라며 문제를 제기했다.
조사 과정에서 자료 제출의 적정성 여부 역시 점검 중이다.
업계 일각에서는 쿠팡이 정부 조사결과가 나오기 전에 자체조사 결과를 일방적으로 공개한 점이 향후 과징금 부과나 ISMS-P 인증 취소 판단에 불리하게 작용할 수 있다는 관측도 나온다.
인증 취소기준에 포함된 사후관리 이행 여부와 자료 제출의 충실성, 조사 과정에서의 대응 태도 등이 인증위원회 심사에서 간접적으로 반영될 수 있다는 해석이다.