정부가 6일 관계부처 회의를 열고 ‘쿠팡 개인정보 유출사태’로 실효성 논란을 빚은 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 등을 강화하기로 했다. 2021년과 지난해 차례로 ISMS-P 인증을 받은 쿠팡에서 3000만명 넘는 가입자의 개인정보가 외부로 유출된 사실이 확인되면서다.
앞으로는 ISMS-P 인증 때 단순 서류심사가 아닌 모의해킹과 같은 기술심사 방식이 적용되고, 인증기업에서 유출 사고가 발생했을 때 특별 사후심사를 벌여 중대 결함이 확인되면 인증을 취소하는 방안도 추진된다. 개인정보보호위원회와 과학기술정보통신부, 한국인터넷진흥원 등을 통해 주요 궁금증을 문답으로 풀어봤다.
ISMS-P 인증 자체에 대한 실효성 논란이 불거졌다.
“인증을 받았다고 개인정보 유출 사고를 완전히 막을 수 있는 것은 아니다. 건강검진을 했다고 해서 질병이 안 일어나는 건 아니지 않나. 다만 ISMS-P 인증은 기업이 자사의 보안관리 체계 수준을 높일 수 있도록 이끄는 제도다. 260개 인증기업 중 유출 사고가 발생한 기업은 10%(27개) 수준이다. 인증제가 전혀 역할을 못 하고 있는 것은 아니라는 의미다. 순기능을 살려야 한다.”
인증을 어떻게 강화하나.
“인증 신청 후 이뤄지는 예비심사 때 모의해킹을 통한 기술심사가 이뤄진다. 현재는 심사팀장 한 명이 하루 방문해 심사하는 데 그쳤다. 심사 방식도 서류 위주다. 또 (특정) 사고 사례나 위험요소가 확인될 경우 다른 기업의 심사에 적용, 관리 실태를 점검할 계획이다. 사후관리도 강화한다. 현재 인증 유효 기간은 3년인데 앞으로는 매년 운영 실태를 점검하게 된다.”
어떤 기업들이 대상인가.
“통산 3사나 (쿠팡·네이버와 같은) 대규모 플랫폼 사업자, 주요 공공시스템이다. 국민 파급력이 큰 기업에 강화한 인증 기준을 적용할 방침이다. 정부는 이를 위한 ‘개인정보 보호법 및 정보통신망법’ 개정도 조속히 추진할 예정이다. 시행령에 구체적인 대상을 담게 될 것이다. 소규모 중소사업자들은 현재의 간편 인증을 적용받는다. 이번 강화한 인증은 이들 사업자에게 큰 영향이 없을 것으로 보인다.”
강화한 인증으로 ‘제2 쿠팡 사태’ 막을 수 있나.
“쿠팡 사건에서 문제 된 (퇴직자에 대한) 암호키 관리 부분 등은 지금도 이미 (퇴직 때 정보자산 반납, 계정 및 접근 권한 회수 같은) 기준이 마련돼 있다. ISMS-P 인증이 로컬 차원에서 개별적으로 만든 게 아니다. 국제 표준이다. 기준이 없어서 문제가 된 게 아닌 (인증) 심사 때 어느 수준까지 심사가 이뤄졌는지에 대한 강도의 문제다. 미흡한 부분은 현실화해 나가겠다.”
징계도 강화하나.
“인증기업에서 유출 사고가 발생할 경우 특별 사후 심사를 한다. 이 과정에서 중대 결함이 발견되면, 인증위원회의 심의·의결을 거쳐 인증을 취소하게 된다. 현재까지 인증이 취소된 기업은 없다. 이와 별개로 현행 개인정보보호법상 전체 매출액의 3% 이내에서 부과하는 과징금 제도와 손해액의 5배를 넘지 않는 범위에서 배상액을 정하는 징벌적 손해배상 제도를 두고 있다. 과징금은 ‘행정처분’이고 징벌적 손해배상은 ‘민사상 판결’이다.”
![[AI 안전성 평가] 'AISC'로 인공지능(AI)안전과 신뢰 증명](https://img.etnews.com/news/article/2025/12/04/news-p.v1.20251204.16d7e68a0a434a28bb5e6407c7065e39_P1.png)
