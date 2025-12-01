쿠팡의 대규모 개인정보 유출 사고를 계기로 기업의 정보보호 역량을 평가하는 국가 인증제도 ‘ISMS-P(정보 보호 및 개인정보 보호 관리 체계)’를 둘러싼 실효성 논란이 커지고 있다. SK텔레콤, KT, 롯데카드 등 인증을 받은 기업에서도 유사한 사고가 반복되면서 인증의 신뢰성에 의문이 제기되는 상황이다.

1일 서울 송파구 쿠팡 본사 모습. 쿠팡은 현재까지 고객 계정 약 3천370만개가 유출된 것을 확인했다. 연합뉴스

1일 개인정보보호위원회 등에 따르면 ISMS-P 인증은 개인정보위와 과학기술정보통신부가 공동 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 인증 대상 기업은 조직 관리, 기술적 보호 조치, 접근 권한 통제, 로그 관리 등 101개 항목을 충족해야 한다. 인증 유효 기간은 3년이고 1년에 한 번씩 사후 심사를 진행한다.



그러나 인증 취득과 실제 보안 수준 사이에 괴리가 크다는 지적이 제기된다. SK텔레콤·KT·롯데카드·예스24·넷마블·쿠팡 등 인증 보유 기업에서도 유출 사고가 잇따랐기 때문이다. 사회민주당 한창민 의원이 개인정보위로부터 제출받은 자료에 따르면 2020년 ISMS-P 인증 기업 27곳에서 34건의 개인정보 유출 사고가 발생했다. 인증 심사제도에 구조적 문제가 원인으로 꼽힌다. 현 심사가 특정 시점 보안 상태만을 점검하는 ‘스냅샷’ 방식이기 때문이다.



심사 기간 보안 수준을 끌어올리더라도 이후 새로 발생하는 위협에는 대응이 미흡할 수 있다는 지적이 나온다. 권헌영 고려대 정보보호대학원 교수는 “인증 대상 기업이 101개 항목을 제대로 충족하는지 확인할 수 있는 체계를 갖출 필요가 있다”며 “현실에선 실질심사가 이뤄지는지 형식적 심사에만 그치는지 파악하기 어렵다”고 지적했다.

