송경희 개인정보보호위원장이 3일 국회 정무위원회에서 열린 쿠팡 개인정보 유출 사태 관련 현안질의에서 위원 질의에 답하고 있다. 사진=연합뉴스
송경희 개인정보보호위원장은 “ISMS-P?제도가 전반적인 정보보호 수준을 끌어올린 효과는 부정하기 어렵다”면서도 “부족한 점이 많이 있다”고 말했다.ISMS-P?인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하고 한국인터넷진흥원(KISA)이 심사와 인증 업무를 맡고 있다. 최근 쿠팡을 비롯해 일부 기업과 기관들이 ISMS·ISMS-P 인증을 취득하고도 해킹 및 정보 유출 사고를 낸 사실이 알려지며 제도적 한계가 도마 위에 오르는 상황이다.송 위원장은 “지금은 서면심사와 샘플링 조사 위주로 인증을 부여하고 있지만, 예비심사제도 도입과 현장심사 확대 등을 검토하고 있다”며 “인증 후에는 매년 모의해킹을 진행해 실제 인증 기준에 따라 운영되는지 점검하고, 심각하게 기준을 지키지 못하면 인증을 취소할 계획”이라며 제도 개선과 엄격한 검증을 약속했다.특히 “관련해 11억 원 증액을 요청했지만 반영되지 않았다”는 지적에 “어떻게든 하겠다”며 의지를 피력했다.유영하 의원(국민의힘)도?“ISMS-P?인증 제도를 강화하겠다고 했는데 계속 말뿐”이라며 “실효성 있게 만들어 달라”고 당부했다.송 위원장은 “11월에 과기정통부와 함께 제도개선 태스크포스(TF)를 구성해 방안을 마련 중”이라며 “12월에는 인증을 받았음에도 사고가 발생한 24개 기업에 대해 12월 중 현장조사를 나갈 계획”이라고 설명했다.
제도 개선과 별개로 이번 대규모 정보 유출 사태가 발생한 쿠팡의 경우 ISMS-P 인증을 취소해야 한다는 주장도 나왔다. 한창민 의원(사회민주당)은 “ISMS-P 인증 기준 세부 항목을 보면 계정 및 접근 권한 회수 조정 등이 제대로 돼야 하는데, 이런 인증 기준에 미달되거나 개인정보 관련 중대 사유가 있으면 취소할 수 있다”고 지적했다.
이상중 한국인터넷진흥원(KISA) 원장은 “이번 사안은 인증 기준을 지키지 않은 중대 사례로서 ISMS-P를 취소해야 한다”는 한 의원 언급에 “엄중한 사안으로 보인다”며 “개인정보위와 논의하겠다”고 답했다.
