국가 최고 보안 인증인 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’를 받은 기업들에서 초대형 개인정보 유출 사고가 잇따르면서 인증 제도의 실효성에 근본적인 의문이 제기되고 있다.
인증받고도 4번 털린 쿠팡…5개월간 탐지조차 못 해
1일 과학기술정보통신부(과기정통부)와 개인정보보호위원회(개보위), 국회 정무위원회 등에 따르면, 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 취득했지만 올해까지 4건의 개인정보 유출 사고를 냈다.
앱 업데이트 오류, 배달원 정보 노출, 판매자 시스템 문제 등으로 반복적인 개인정보 유출 사고를 냈고, 올해 11월에는 고객 계정 3370만건이 한꺼번에 새는 초유의 사태까지 발생했다. 더 큰 문제는 유출 정황이 5개월이 지나서야 뒤늦게 탐지됐다는 점이다. 사이버위협 대응 시스템은 유출 조짐조차 포착하지 못했다.
이는 ‘ISMS-P 인증 기업’이라는 명패가 실제 보안 수준을 담보하지 못한다는 비판으로 이어진다. ISMS-P는 전년도 매출액 100억원 이상이거나 일일 평균 이용자 100만명 이상인 정보통신 기업이 의무적으로 받아야 하는 국가 인증 제도다. 최초 심사 후 3년간 유효하며, 매년 1회 이상 사후심사를 받는다.
쿠팡뿐만이 아니다. SK텔레콤은 인증을 보유한 상태에서 수십만명 이상의 가입자 정보가 유출됐고, KT는 해커가 소형 기지국(펨토셀)을 악용한 공격으로 소액결제 인증이 뚫렸다. 롯데카드는 인증 받은 지 얼마 되지 않아 수백만 명 카드 고객의 정보가 한꺼번에 빠져나갔다.
수치에서도 심각성은 드러난다. 개인정보보호위원회와 국회 자료에 따르면, 최근 5년간 ISMS-P 인증을 받은 기업 중 유출 사고로 징계받은 기업은 27곳, 34건에 달한다. 심지어 사고를 인지하고도 72시간 이내의 법정 신고를 하지 않은 기업도 13곳에 이른다.
"인증은 받았지만, 실제 보안은 0점"
현행 ISMS-P는 총 101개 항목을 기준으로 기업의 보안 수준을 평가한다. 기업은 자체 평가보고서를 작성해 규정·지침·절차서 같은 증빙 자료를 제출하고, 인증기관은 서류와 인터뷰, 일부 현장 점검을 통해 기준 충족 여부를 확인하는 방식이다. 문제는 이 과정이 기업이 제출한 ‘문서’ 중심으로 이뤄진다는 점이다.
심사도 기업이 지정한 범위 안에서 연 1회 진행한다. 사실상 ‘그 시점에 기준을 맞췄는지’만 확인하는 구조다. 실제 운영 과정에서 어떤 취약점이 있었는지, 사고 가능성이 어디에 존재하는지는 심사 범위 밖이다. 대표적으로 심사 대상에서 빠진 인프라가 구멍이 되는 KT 펨토셀 해킹이 있다. 사고가 터진 뒤에야 ‘어디가 뚫렸는지’ 거꾸로 따지는 방식이라는 것이다.
전문가들은 이러한 방식이 이미 현실과 동떨어졌다고 지적한다. 김승주 고려대 정보보호대학원 교수는 “ISMS-P는 심사 시점의 문서와 관리 체계만 보는 제도”라며 “클라우드·AI 환경처럼 시스템이 하루에도 여러 번 바뀌는 시대에 연 1회 점검은 현실을 따라갈 수 없다”고 말했다.
겉보기엔 촘촘해 보이지만, 실제로는 ‘101개의 체크리스트’만 통과하면 되는 형식적 인증에 그치기 쉽다. 항목별 요건을 충족하면 심사는 통과되지만, 그 뒤 365일 동안 보안 체계가 제대로 작동하는지에 대한 보장은 없다.
더욱이 최근 공격 패턴에서 핵심이 된 제로 트러스트 보안, EDR·SIEM 기반 이상행위 탐지, 내부자 통제 같은 현대 보안 요소는 인증 항목에 제대로 반영돼 있지 않다. 결국 매년 받는 사후심사도 그때그때 문서와 운영 상태만 확인하는 ‘시점 점검(스냅샷)’에 불과하다.
해외는 '실시간 검증' 도입…한국만 뒤처져
이 같은 한계는 해외 주요국의 흐름과 비교하면 더욱 분명해진다. 유럽연합(EU)은 일반개인정보보호법(GDPR)을 통해 기업에 유출 사실을 72시간 이내에 신고하도록 의무화하고, 위반 시 전 세계 매출액의 최대 4%까지 과징금을 부과한다.
미국의 SOC 2 Type 2 인증은 연 1회 ‘한 번 보고 끝내는 심사’가 아니라 최소 6개월에서 1년 동안 실제 운영 기록을 바탕으로 보안 통제가 계속 작동했는지 확인한다. 일본과 싱가포르도 금융·통신·플랫폼 기업을 중심으로 접속 로그와 접근 기록의 실시간 보관을 의무화하는 등 상시 모니터링 체계로 전환하고 있다.
정부도 뒤늦게 제도 손질에 나섰다. 배경훈 부총리 겸 과기정통부 장관은 10월 ‘범부처 정보보호 종합대책’을 발표하며 “현장 점검, 실효성, 사후관리 측면에서 인증 제도를 고도화하고 상시 점검 체계로 만들겠다”고 약속했다.
개인정보위는 11월 ISMS-P 인증을 받은 1200여개 기업과 기관 전체를 대상으로 연말까지 특별 사후 점검에 나섰다. 비밀번호 관리, 암호화 적용, 로그·접속 기록, 패치 관리, 사고 대응·복구 체계를 모두 다시 들여다보고, 최고경영자(CEO)가 점검 결과를 직접 확인하도록 하는 방침이다.
과기정통부 역시 범부처 정보보호 종합대책을 통해 “인증 제도를 상시 점검 체계로 고도화하겠다”고 밝혔다. 또한 모의 해킹 훈련과 화이트해커를 활용한 보안 점검 확대 방안을 추진하고 있다.
