송경희 개인정보보호위원장이 대규모 개인정보 유출사태를 일으킨 쿠팡의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 취소를 검토하고 있다고 밝혔다.
17일 국회 과학기술정보방송통신위원회가 연 쿠팡 개인정보 유출사태 청문회에서 송 위원장은 “ISMS-P 인증 취소를 포함한 강력한 제재가 필요하다”는 박충권 국민의힘 의원의 주문에 “그것도 검토하고 있다”고 밝혔다.
송 위원장은 쿠팡의 ISMS-P 위반 가능성을 묻는 박 의원 질의에 “ISMS(정보보호)에 내부자의 접근 권한 관리 기준이 마련돼 있고, P(개인정보보호) 영역에도 관련 요구사항이 있다”면서 “내부자에 대한 통제가 제대로 되지 않았다면 심각한 ISMS-P 위반”이라고 말했다.
‘내부 통제 실패’는 쿠팡 사태를 관통하는 핵심 열쇳말이다. 쿠팡의 설명을 종합하면, 인증 시스템을 개발하던 직원 A씨는 재직 중 ‘서버 출입증’(토큰)을 만들 수 있는 ‘서명키’를 빼돌렸고, 퇴사 이후 이를 이용해 3370만명의 고객 정보를 유출했다.
서명키는 민감한 ‘보안 자산’으로, 하드웨어 보안 모듈(HSM)에 보관·관리돼야 하며 일반 직원이 이를 추출하는 것은 원칙적으로 금지돼야 한다. 이러한 엄격한 키 관리 체계와 내부자 접근 통제는 ISMS-P 인증의 주요 요건이다. ISMS-P는 과학기술정보통신부와 개인정보위가 공동 운영하는 정보보호·개인정보보호 관리체계 인증 제도로, 쿠팡은 2021년과 2024년 두 차례 이 인증을 받았다.
쿠팡 사태를 계기로 신설된 ‘징벌적 과징금’이 쿠팡에 적용돼야 한다는 지적도 나왔다. 이날 국회 정무위원회는 현행 3%인 과징금 상한선을 고의·중대한 과실 등에 한해 매출 10%로 상향하는 개인정보보호법 개정안을 통과시켰다. 그러나 이 개정안이 본회의를 통과하더라도 법적으로 쿠팡에 소급해 적용하기는 힘든 상황이다.
이훈기 더불어민주당 의원은 이날 “쿠팡방지법 등 별도 입법을 통해서라도 (징벌적 과징금이 쿠팡에 적용되도록) 해야 한다”고 거듭해 강조했고, 송 위원장은 “(쿠팡방지)특별법은 쿠팡의 여러 사건들을 살펴보면서 검토해 볼 필요가 있다”고 말했다.
![[쿠팡 정보 유출] 배경훈 부총리 "쿠팡 앱에 개인정보 유출 여부 확인란 만들 것"](https://img.newspim.com/news/2025/12/17/251217111745973_w.jpg)
