최근 대규모 개인정보 유출사태를 일으킨 쿠팡이 국내외 주요 보안·프라이버시 인증을 다수 보유해온 것으로 확인됐다.

여러 인증을 취득했음에도 전직 직원이 서명키를 이용해 개인정보를 빼간 사실이 드러나면서 인증제도의 실효성에 의문이 제기된다.

3일 쿠팡이 자사 프라이버시센터 홈페이지에 공개한 자료에 따르면 회사는 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 ISO/IEC 27001(정보보호경영시스템)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계), APEC·Global CBPR, PCI DSS, ePrivacy(프라이버시) 등 7개의 국내외 보안·프라이버시 인증을 갖추고 있다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는, 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.

ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준으로, 약 90개 항목에 대한 심사를 통과해야 인증을 받을 수 있다.

이밖에 APEC·Global CBPR은 개인정보를 국제 기준에 따라 안전하게 처리하고 국경 간 전송 요건을 충족했음을 검증하는 인증이며, ePRIVACY 인증은 웹사이트의 개인정보 보호 법규 준수와 안전한 처리 여부를 평가하는 제도다.

PCI DSS는 신용카드 회원 데이터 보호 강화를 위해 마련된 국제 결제 데이터 보안 표준이다.

그러나 촘촘한 인증 체계를 갖추고 있었다는 점과 달리 정작 쿠팡에서는 전직 직원에 의해 정보가 유출된 것으로 전해졌다.

전날 국회 과방위 현안 질의에서 박대준 쿠팡 대표는 정보 유출의 용의자로 지목된 전직 중국 국적 직원에 대해 "인증 업무 담당자가 아니라 인증 시스템을 개발하는 개발자였다"고 설명했다.

정부에 따르면 공격자는 쿠팡 서버의 인증 취약점을 악용해 정상적인 로그인 절차를 거치지 않고 3천만 건이 넘는 고객 계정에서 이름·이메일·발송지 전화번호·주소 등을 유출한 것으로 드러났다.

전문가들은 인증 제도가 기업의 보안 체계 성숙도를 일정 수준 보증하는 역할을 하지만, 내부자 통제·접근권한 관리 같은 '실질적 리스크'는 별도의 관리 체계를 요구한다고 지적한다.

인증 취득을 통해 '보안 수준을 충족했다'는 외형을 갖추는 것과 실제 사고를 막는 것은 별개라는 것이다.

쿠팡처럼 고위험 개인정보를 대규모로 처리하는 기업의 경우 접근권한 부여·회수 절차, 상시 로그 점검, 이상행위 탐지 등 운영 단계의 내부 통제가 사고 예방의 핵심이라는 지적도 나온다.

최경천 가천대 법학과 교수는 "인증은 갱신주기 같은 기본적인 사항을 정기적으로 점검하고 취약성 제거 조치를 취하는 데 여전히 의미가 있다"면서도 "최근 유출 사고의 공통 취약점인 자산·접근권한 관리 점검 주기를 강화하는 등 실효성 보완이 필요하다"고 말했다.

김동현 한라대 AI정보보안학과 교수도 "우리나라 기업 구조를 보면 정보보안 담당자가 보안 업무뿐 아니라 인증 준비, 유지관리, 침해 대응까지 모든 역할을 떠안는 경우가 많다"며 "업무 부담이 커 숙련 인력이 잦은 이직을 반복하는 구조적 문제도 있다"고 지적했다. 이어 그는 "정부 차원에서도 ISMS-P 이상 인증 사업자를 대상으로 최소한의 관리 현황을 정기적으로 보고받는 체계가 필요하다"며 "기업의 실제 보안 관리 활동을 점검·보고할 수 있는 포털을 운영하는 방안도 자율규제 강화와 같은 맥락에서 고민할 수 있다"고 덧붙였다.(연합뉴스)