산업



보안인증 받은 대기업들 개인정보 유출···'인증 취소하자' 주장 제기

박정호 KISA 부원장 "(재인증) 강화 방안에 대해 관계부처와 논의하겠다"


[파이낸셜데일리=강철규 기자] 대기업들이 정보보호 관련 보안인증을 받았음에도 개인정보 유출사고를 일으킨 것으로 드러나 인증을 취소해야 한다는 주장이 제기됐다.


  국회 과학기술정보방송통신위원회 소속 박홍근 더불어민주당 의원은17일 서울 여의도 국회에서 열린 과학기술정보통신부 소관 5개 진흥원을 대상으로 한 국정감사에서 이같이 주장했다.


  박 의원이 한국인터넷진흥원(KISA)로부터 제출받은 지난해부터 올해 8월까지  '개인정보유출 신고 접수현황'에 따르면, 7개 기업은 정보보호관리체계(ISMS) 인증을 받고도 개인정보 유출사고를 낸 것으로 확인됐다.

  개인정보가 유출된 ISMS인증 기업은 SK텔레콤, 한국방송공사(KBS), 한국피자헛, 이스타항공 주식회사, 삼성전자서비스 등이다.


  유출 경로는 '해킹'이 26건으로 가장 많았다. 이어 '홈페이지 리뉴얼에 따른 사고' 8건, '내부 직원에 의한 유출' 5건이 뒤따랐다. 나머지 29건은 사고발생 자체를 인지하지 못했으며, 유출 경로 파악도 사실상 불가능한 것으로 전해졌다.


  특히 SK텔레콤과 LG유플러스의 경우, 내부직원이 흥신소에 개인정보를 불법으로 유출한 것으로 드러났다. 이에 따라 국민 대다수의 개인정보를 보유한 통신 대기업의 개인정보 관리가 매우 허술하다는 지적을 받았다.

  KISA는 ISMS인증 이외에도 개인정보보호관리체계(PIMS) 인증제도도 운영 중이다. 인터넷 쇼핑몰 '인터파크'의 경우 ISMS와 PIMS 인증 두 가지 모두 받았음에도 개인정보 유출사고가 발생해 인증제도 자체가 유명무실하다는 지적도 나왔다. 현재까지 보안인증을 받은 기업들 중 개인정보 유출사고로 인증이 취소된 사례는 없다.


  박 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했음에도 불구하고, 인증을 받은 기업들에서 개인정보유출 사고가 발생하는 사례가 반복되고 있다"며 "개인정보 유출 등 보안사고가 발생한 기업에 대해서는 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 주문했다. 김성태 자유한국당 의원도 "최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출됐다"면서 "더 심각한 것은 유출사고 116건 중 23건은 유출정보도 파악되지 않는다"고 지적했다. 
 
  이어 "개인정보인증체계가 기업에 재정적 부담을 주고 혈세낭비로 이어진다"며 "개인정보 보호의 가치를 (ISMS와 PIMS로) 나누는 것은 이해되지 않는다. 법률로 강제해 통합해야 한다"고 주장했다. 이에 대해 박정호 KISA 부원장은 "유출사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(재인증) 강화 방안에 대해 관계부처와 논의하겠다"고 답했다.


  박 KISA 부원장은 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다"며 "통합은 긴밀하게 검토하고 있다"고 말했다.

 





배너
배너