박홍근 의원 공개, LGU+·YES24 등 ISMS 인증 7개 기업... 내부직원이 흥신소에 불법 유출도
  • 박홍근 더불어민주당 의원. ⓒ뉴데일리 DB
    ▲ 박홍근 더불어민주당 의원. ⓒ뉴데일리 DB

    정부가 일정 수준 이상의 보안체계를 구축한 기업들에게 인증을 하고 있지만, 인증 기업들에게서 개인정보 유출사고가 무더기로 발생한 사실이 드러났다.

    국회 과학기술정보방송통신위원회 소속 박홍근 더불어민주당 의원이 한국인터넷진흥원(KISA)로부터 제출받은 『개인정보유출 신고 접수현황(2016~2017.8)』을 분석한 결과, 7개 기업은 ISMS 인증을 받고도 개인정보 유출사고를 낸 것으로 나타났다.

    ISMS(Information Security Management System, 정보보호관리체계)란 정보통신망의 안전성 확보를 위해 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도를 말한다.

    개인정보가 유출된 기업은 SK텔레콤, 한국방송공사(KBS), 한국피자헛, 이스타항공 주식회사, 삼성전자서비스 등이고, 유출 경로로는 '해킹'이 26건으로 가장 많은 것으로 드러났다.

    '홈페이지 리뉴얼에 따른 사고'가 8건, '내부 직원에 의한 유출'이 5건으로 뒤를 이었는데, 나머지 29건은 사고발생 자체를 인지하지 못했으며, 유출 경로 파악도 사실상 불가능하다는 분석이다.

    특히 SK텔레콤과 LG유플러스의 경우, 내부직원이 흥신소에 개인정보를 불법으로 유출한 것으로 밝혀져, 국민 대다수의 개인정보를 보유한 통신 대기업의 개인정보 관리가 매우 허술한 것으로 드러났다.

    박 의원에 따르면 KISA는 ISMS인증 이외에도 개인정보보호관리체계(PIMS) 인증제도도 운영 중인데, 인터넷 쇼핑몰 <인터파크>는 ISMS와 PIMS 인증 두 가지 모두 받았음에도 개인정보 유출사고가 발생해 인증제도 자체가 유명무실하다는 지적을 받는다.

    이외에도 한번 인증을 받으면 개인정보 유출사고가 발생하더라도 인증이 취소되지 않으며, 인증기업이 개인정보를 유출했음에도 불구하고 아무런 제재도 없이 또 다시 인증을 내주는 실정이라는 설명이다.

    보안인증을 받기 위해선 수수료 이외에도 준비·점검·갱신 등의 추가비용이 발생하는데, 과태료가 3천만원에 불과하기 때문에 기업 입장에서는 이러한 부담을 지는 것보다 과태료를 무는 것이 더 낫다는 생각을 하게 만든다는 지적이다.

    박 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했음에도 불구하고, 인증을 받은 기업들에서 개인정보유출 사고가 발생하는 사례가 반복되고 있다"며 "개인정보 유출 등 보안사고가 발생한 기업에 대해서는 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 주문했다.