한국인터넷진흥원(KISA)이 발급해주는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)에서 모호한 점이 발견됐다.
27일 업계에 따르면 인증취소 사유가 법으로 정해져있는데, 이를 관장하는 KISA는 ‘해석하기 나름’이라는 식으로 여지를 두고 있다.
ISMS-P는 정보보호 및 개인정보보호를 위한 기업 등의 조치와 활동이 인증기준에 적합하다는 사실을 인터넷진흥원 또는 인증기관이 증명하는 제도로, 과학기술정보통신부와 개인정보보호위원회가 고시하는 국내 최고 권위의 통합 인증 제도다.
기업이 이 인증을 받으려면 ‘관리체계 수립 및 운영인증’ 16개와 보호대책 요구사항 64개, 그리고 개인정보 처리단계별 요구사항 22개를 추가로 인증해야 한다. 인증 유효기간은 3년이다.
인증 취소사유가 있다. 개인정보보호법 32조를 보면 △거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우 △제4항에 따른 사후관리를 거부 또는 방해한 경우 △제8항에 따른 인증기준에 미달한 경우 △개인정보 보호관련 법령을 위반하고 그 위반사유가 중대한 경우 개인정보 보호인증을 취소할 수 있다.
개인정보보호법을 어기고 제재를 받았는데 인증을 받은 사례가 있다. 한 예로 개인정보보호위원회는 지난해 9월 개인정보보호 법규를 위반한 LG유플러스에 과태료 600만원을 부과했다. 위원회는 두 달 뒤인 11월엔 대리점 시스템 개인정보 유출 위험을 방치한 대가로 과태료 1200만원을 부과했다. LG유플러스는 바로 다음 달 12월 인증을 받았고, 유지 중이다. 사후이긴 해도 당국 제재를 두 차례나 받은 그 해에 인증이 이뤄진 것.
LG유플러스 보다 2년 일찍 인증을 받은 KT도 지난해 11월 개인정보 유출로 과태료 300만원 제재를 받았지만 인증을 유지하고 있다. 두 사례 모두 ‘법을 위반했지만 사유가 중대하지 않다’고 본 걸로 해석된다. 법 위반과 별개로 중대성 여부를 판단하는 몫은 전적으로 KISA에게 달린 셈이다.
관건은 이달 초 있었던 LG유플러스 개인정보 대규모 유출사고다. 개인정보 18만명분이 유출됐다. 감독당국이 유출 경로와 추가 피해 규모, 개인정보 법규 위반 여부 등을 파악하고 있다.
KISA 측은 인증 취소 여부에 관해 일관된 답을 내놨다. KISA 관계자는 “사고가 발생했다는 사실 만으로 법에서 규정하는 인증 취소 요건에 해당된다고 단정하기는 어렵다”라며 “사고 원인 파악이 우선이며 그 결과에 따라 인증 기준이 요구하는 다양한 관점에서 검토가 필요하다”고 밝혔다.
이어 “사고 원인 분석, 사고 대응의 적절성, 재발 방지 조치 등을 중점 검토 한다”고 말했다.
송금종 기자 song@kukinews.com