이슈&화제

실시간뉴스

쿠팡, ISMS-P 취득 후 4번째 유출사고

쿠팡, 2021년 이어 2024년에도 ISMS-P 인증…4차례 개인정보 유출사고
'최고 관리체계 인증서'라고 마케팅했는데…"대체 뭘 점검했다는 건지"
2020년 이후 27곳 ISMS-P 인증 기업에서 34건 개인정보 유출사고
정부, 현장 심사 위주 전환 방침…상시 취약점 점검 체계도 확보하기로

 

[파이낸셜데일리 강철규] SK텔레콤부터 예스24, 롯데카드, KT, 넷마블, 쿠팡까지 올해 개인정보 유출 사고가 발생했던 기업들의 공통점이 있다. 바로 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 기업이라는 것. 정부가 시행하는 국내 유일의 개인정보보호 통합 인증제도로 이 인증을 받은 기업은 국내 최고 수준의 정보보안 역량을 지녔다고 강조해 왔다.

하지만 ISMS-P 인증을 받은 기업들이 잇달아 대규모 사이버 침해사고를 겪으면서 국내 정보보안 인증 제도 실효성에 대한 의문이 나오고 있다.

 

1일 업계에 따르면 3000만명 규모의 대규모 개인정보 유출사고가 발생한 쿠팡의 경우, 2021년과 지난해 ISMS-P 인증을 받았지만 최근 5년간 총 4차례의 개인정보 유출 사고가 있었다.

구체적으로 ▲2021년 쿠팡이츠 배달원 13만5000여명의 개인정보 유출 ▲2021년 쿠팡 앱 검색창과 배너 광고 사이 회원 31만여명 이름·주소 일부 노출 ▲2023년 쿠팡 판매자 전용 시스템 '윙' 내 주문자·수취인 2만2000여명 개인정보 노출사고에 이어 이번에는 피해자 수가 3370만명에 달하는 대규모 유출사고가 발생했다.

쿠팡은 지난해 ISMS-P 인증을 갱신했는데도 정보 유출이 시작된 지 5개월이 지난 지난달에야 이상 징후를 감지했다.

 

쿠팡이 정보보호 투자에 그다지 인색하진 않았다. 한국인터넷진흥원(KISA)에 따르면 쿠팡은 올해 유통업계 최고 수준인 890억여원을 정보보호 부문에 투자했다.

하지만 막대한 자본과 제도로 구축한 디지털 성벽도 관리의 사각지대 앞에서는 속수무책이었다. 쿠팡 전 직원이 퇴사 후에도 주요 정보를 접근할 수 있는 권한을 유지해 정보가 유출됐다는 게 이번 사고 원인인 것으로 전해졌다.

최민희 국회 과학기술정보방송통신위원장이 쿠팡에 받은 자료에 따르면 쿠팡은 로그인에 필요한 '액세스 토큰'을 생성하는 서명키(인증키) 유효 기간을 5~10년으로 설정했다. 담당 직원 퇴사 시에도 이를 갱신하거나 삭제하지 않았다.

보안상 '토큰'이 일회용 출입증이라면 '서명키'는 출입증을 발급해주는 도장과 같은데 쿠팡은 이 도장을 수년간 방치해 퇴사자가 마음대로 출입증을 찍어내 3370만건의 정보를 탈취할 수 있도록 문을 열어뒀다는 게 최 위원장 측 설명이다.

 

최 위원장은 "장기 유효 인증키를 방치한 것은 단순한 내부 직원의 일탈이 아니라 인증체계를 방치한 쿠팡의 조직적·구조적 문제 결과"라고 지적했다.
 

'보안 우등생' 타이틀 무색…"인증은 면허증일 뿐 무사고 보증 아냐"

 

ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.

올해 개인정보 유출 사고를 겪은 SK텔레콤, KT, 롯데카드, 예스24, 넷마블, 쿠팡 모두 이 인증을 받았다. 하지만 이들 기업은 정부 인증에도 정부 인증에도 불구하고 고도화되는 해킹 공격과 내부 통제 실패를 막아내지 못했다.

이들 기업뿐만이 아니다. 한창민 사회민주당 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 개인정보위가 장관급 중앙행정기관으로 격상된 2020년 이후부터 현재까지 총 27개의 ISMS-P 인증 기업에서 34건의 개인정보 유출 사고가 발생했다.

기업들은 ISMS-P 인증 획득 시 "개인정보보호에 대한 책임감과 신뢰성을 향상시켰다"는 등으로 홍보하고 있다. 하지만 실상은 법적 의무를 다했다는 항변을 위한 방어용으로 전락했다는 비판을 피하기 어렵게 됐다.
 

"'스냅샷' 심사로는 한계…인증 체계 개선·기업의 실질적 노력 병행돼야"

 

대규모 사이버 침해사고가 발생할 때마다 ISMS-P 제도 개선이 필요하다는 주장이 끊이지 않고 있다.

현행 제도는 인증 유효기간이 3년이다. 1년에 한 번씩 사후 심사를 진행한다. 문제는 이 심사가 특정 시점 보안 상태만을 점검하는 '스냅샷' 방식이라는 점이다. 심사 기간에만 보안 수준을 높여놓고 이후 관리가 소홀해지거나 심사 직후 발생하는 새로운 취약점에는 대응력이 떨어질 수밖에 없다.

원유재 충남대 교수는 "ISMS-P 인증은 기업이 보안을 위해 갖춰야 할 최소한의 조직과 절차를 수립했는지 평가하는 제도"라며 "심사 기간(일주일) 동안의 상태와 이력을 보고 인증을 부여하는데 공격자들은 24시간 365일 빈틈을 노리고 공격한다는 점에서 시점의 차이가 발생할 수밖에 없다"고 말했다.

이어 "보안 취약점은 1년에 한 번 심사할 때만 생기는 것이 아니라 수시로 발생한다"며 "단순히 인증을 따는 것에 그치지 않고 인증 획득 이후에도 새롭게 발견되는 취약점에 대해 기업이 얼마나 지속적으로 조치를 취하고 관리했는지가 핵심"이라고 강조했다.

기업이 인증 획득을 '보안 안전지대' 진입으로 여겨 마케팅 수단으로만 활용할 것이 아니라 이를 최소한의 기반으로 삼아 인력과 예산 등 실질적인 보안 투자를 지속해야 한다는 뜻이다.

업계 한 관계자도 "ISMS-P가 최소한의 법적·절차적 기준을 충족했는지 확인할 뿐 실시간으로 변하는 보안 위협을 100% 방어해 주는 방패가 될 수는 없다"고 지적했다. 인증 획득이 곧 '보안 완결'이라는 안일한 인식이 사고를 키웠다는 분석이다.

한편 정부는 보안 인증제와 관련해 서면 심사 대신 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 등 실효성을 제고하고 사후관리를 강화할 방침이다. 또 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축할 계획이다.

 

강철규 의 전체기사 보기

Copyright @2024 Fdaily Corp. All rights reserved.

포토뉴스

2025-12-01_MON

배너
배너
배너