국내외 보안인증 다수 보유 불구
퇴사자 개인정보 탈취 막지 못해
‘내부자 통제’ 등 별도 관리 요구

쿠팡의 대규모 고객 개인정보 유출 사태가 벌어지며 소비자들의 불안이 커지고 있다. 이재명 대통령은 이날 쿠팡에 대해 과징금을 강화하고 징벌적 손해배상제도를 현실화하는 등 실효적인 대책을 마련을 지시했다. 사진은 2일 서울 시내 한 쿠팡 물류센터 모습. [뉴시스]

[헤럴드경제=김진 기자] 대규모 개인정보 유출 사태가 발생한 쿠팡이 국내외 주요 보안·프라이버시 인증을 다수 보유한 것으로 나타났다. 그럼에도 퇴사한 직원의 개인정보 유출을 막지 못한 것으로 드러나면서 인증제도의 실효성에 의문이 제기된다.

3일 쿠팡이 자사 프라이버시센터 홈페이지에 공개한 자료에 따르면 회사는 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 ISO/IEC 27001(정보보호경영시스템)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계), APEC·Global CBPR, PCI DSS, ePrivacy(프라이버시) 등 7개의 국내외 보안·프라이버시 인증을 보유했다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다. ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준이다. 약 90개 항목에 대한 심사를 통과해야 인증을 받을 수 있다.

APEC·Global CBPR은 개인정보를 국제 기준에 따라 안전하게 처리하고 국경 간 전송 요건을 충족했다는 인증이다. ePRIVACY 인증은 웹사이트의 개인정보 보호 법규 준수와 안전한 처리 여부를 평가한다. PCI DSS는 신용카드 회원 데이터 보호 강화를 위해 마련된 국제 결제 데이터 보안 표준이다.

다수 인증을 갖춘 쿠팡이 대규모 유출을 막지 못한 것을 두고 관리 부실에 따른 ‘인재(人災)’란 지적이 나온다. 국회 과학기술정보방송통신위원회의 전날(2일) 현안 질의에서 지목된 핵심 용의자는 인증 시스템 개발 업무에 종사했던 중국 국적의 퇴사자 A씨다. 브랫 매티스 쿠팡 최고정보보호책임자(CISO)는 “A씨 퇴사 이후 접근 권한을 말소했다“고 밝혔으나, 인증에 쓰이는 ‘프라이빗 서명키’가 유출된 경로를 명확히 밝히지 않았다.

전문가들은 인증 제도가 기업의 보안 체계 성숙도를 일정 수준 보증하는 역할을 하지만, 내부자 통제·접근권한 관리 같은 실질적 리스크는 별도의 관리 체계를 요구한다고 지적한다. 인증 취득을 통해 ‘보안 수준을 충족했다’는 외형을 갖추는 것과 실제 사고를 막는 것은 별개라는 것이다.

쿠팡처럼 고위험 개인정보를 대규모로 처리하는 기업의 경우 접근권한 부여·회수 절차, 상시 로그 점검, 이상행위 탐지 등 운영 단계의 내부 통제가 사고 예방의 핵심이라는 분석도 나온다.

전날 과방위 현안 질의에서도 “ISMS 제도 자체에 대한 종합적인 점검을 통해 대책이 마련돼야 한다(조인철 더불어민주당 의원)” 등 관련 지적이 쏟아졌다. 이정렬 개인정보보호위원회 부위원장은 “내부 연구반을 구성해 제도 개선을 막바지 단계에서 논의 중”이라며 “조만간 전면적인 개편 방안을 보고드리겠다”고 말했다.