ISMS-P 인증 기업 개인정보 유출 현실과 제도 개선 방향

ISMS-P 인증과 개인정보보호의 현주소

과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 ISMS-P 인증제도는 2018년 기존의 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합하여 만들어진 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도입니다. 기업들은 이 인증을 통해 내부 보안 관리 체계를 갖추고, 고객 개인정보를 안전하게 관리한다는 점을 인정받게 됩니다.

그러나 최근 쿠팡, SK텔레콤, KT, 롯데카드 등 ISMS-P 인증을 획득한 대형 기업들에서 반복적으로 개인정보 유출 사고가 발생하면서 인증제도의 실효성에 대한 의문이 커지고 있습니다. 인증을 받았음에도 중대한 보안 사고가 발생하는 현실은 인증제도의 근본적인 운영 방식에 문제가 없느냐는 비판을 낳고 있습니다.

반복된 개인정보 유출 사고가 의미하는 바

특히 쿠팡의 경우 2021년 3월과 2024년 3월 두 차례에 걸쳐 ISMS-P 인증을 받았음에도 4번째 개인정보 유출 사고가 발생해 논란이 되었습니다. 이를 계기로 ISMS-P 인증기업 263곳 중 27개 기업에서 총 33건의 개인정보 유출 사고가 있었다는 사실이 드러나면서 인증만으로 개인정보보호가 완벽히 보장되지 않는다는 점이 명확해졌습니다.

이러한 문제점은 현행 ISMS-P 인증이 샘플링(표본)과 서면 중심의 인증 방식에 의존하고 있다는 점에서 발생합니다. 즉 인증 심사 시점이나 양식, 서류 중심의 점검으로 실제 기업의 운영 상황을 충분히 파악하지 못하는 문제가 존재합니다. 이는 현장 검증의 미흡함을 의미합니다.

제도 개선과 강화 방안

개인정보보호위원회는 이러한 미흡함을 보완하기 위해 현재 여러 개선안을 적극 검토 중이며 과학기술정보통신부와 협력하는 태스크포스를 구성하여 심층적인 대책 마련에 나선 상태입니다. 주요 개선 방안으로는 다음과 같은 조치가 포함되어 있습니다.

• 예비심사 제도 도입과 현장심사 확대: 서면심사에 머무르지 않고 실제 기업 현장을 점검해 실질적인 운영 실태를 확인하려는 조치입니다.
• 모의해킹 실시 및 인증 사후관리 강화: 정기적으로 모의해킹을 시행해 보안 취약점을 발견하고 바로잡도록 할 계획입니다.
• 인증 취소 제도 도입 검토: 보안 기준 미준수 시 인증 자체를 취소할 수 있는 강력한 제도적 장치를 마련 중입니다.

이와 함께 개인정보 침해 사고에 대한 피해구제 실효성 확보 역시 큰 과제입니다. 특히 국민의힘 유영하 의원은 개인정보 유출 피해 보상 권고금액이 실제로 지급되지 않는 현실을 지적하며 보상 제도의 강화를 요구했습니다. 현재 개인정보분쟁조정위원회가 기능을 수행하고 있으나 국민적 관심사에 비해 제도의 한계가 명확한 상태입니다.

법률적 관점에서의 대응 필요성

개인정보 유출 사고 발생 시 법률적으로는 개인정보보호법을 근거로 피해자의 손해배상 청구가 가능합니다. 다만 분쟁조정이나 소송 과정에서 실제 피해액 산정, 입증 책임, 보상 범위 등 현실적인 문제들이 존재해 피해구제가 원활하지 않은 모습을 보입니다.

따라서 기업들은 ISMS-P 인증에 안주하지 말고 자체적인 보안 관리 체계를 강화하고 보안 사고 발생 시 신속하고 투명한 대응 체계를 마련하는 것이 필요합니다. 또한 정부 역시 피해자 구제와 기업의 책임 강화에 관한 법·제도적 기반을 계속 보완해야 할 것입니다.

앞으로의 방향성

현재 진행 중인 인증제도 개선과 엄격한 현장 조사, 그리고 법적·행정적 제재 강화는 정보보호체계를 더욱 견고히 만드는 기초가 될 것입니다. 동시에 국민들에게는 개인정보 유출 사고 발생 시 적극적으로 권리를 주장하고 피해를 최소화하려는 법률적 인식을 제고할 필요가 있습니다.

ISMS-P 인증은 시작일 뿐이며, 실효성 있는 정보보호 관리체계 구축을 위해선 제도의 연속적인 개선 노력과 기업의 책임 있는 자세가 필수적임을 명심해야 할 시점입니다.