[비즈니스포스트] "(ISMS-P 제도 개선 방안과 관련해) 취소 기준을 마련 중이다. (지난해 이후) 해킹 사고를 낸 기업 가운데 인증이 취소되는 사례도 좀 있을 것 같다."

송경희 개인정보보호위원장이 지난 21일 서울 중구 프레스센터에서 열린 출입기자 기자간담회에서 한 말이다. 정보보호 인증(ISMS-P) 제도를 놓고 무용론을 넘어 폐해론까지 나오는 있는 상황을 감안할 때, 이날 송 위원장 발언은 태평하기까지 해 보인다. 

이동통신·금융·플랫폼 등 사람들의 일상과 관련 깊은 서비스를 제공하는 회사에서 잇따라 터지고 있는 해킹과 가입자·이용자 개인정보 대량 유출 사고로, 안 그래도 고구마를 먹다 얹힌 것처럼 가슴 치는 국민을 더 답답하게 만들고 있다.   

앞서 2022년에는 LG유플러스, 지난해에는 SK텔레콤과 KT에 이어 롯데카드·신한카드와 쿠팡 등 이동통신·금융·플랫폼 기업에서 잇따라 해킹 및 개인정보 대량 유출 사고가 터졌다. 이들의 공통점은 모두 '정보보호 인증'을 받은 기업이란 점이다.

3천만 건 이상의 이용자 개인정보를 유출한 것으로 알려지고 있는 쿠팡은 이 인증을 두 차례나 받았다.

과학기술정보통신부 민관합동조사단 조사 결과를 보면, 해킹과 개인정보 유출 사고 발생 기업들은 한결같이 보안을 소홀히하다 통신망과 서버(컴퓨터) 등이 해커에 뚫렸고, 가입자·이용자 개인정보가 대량 유출됐다. '어쩔 수 없이 당했다'는 조사 결과가 나온 적은 한번도 없었다.

정보보호 인증 제도 무용론이 나오는 게 당연하다. 제도 개선 요구 목소리가 커질 수밖에 없다.

더욱이 해당 기업들은 정보보호 인증을 받은 사실을 앞세워 개인정보 유출에 따른 정부 과징금을 대폭 감경받았거나 감경을 요구하고 있다. 감경받는 금액만큼 보안 소홀에 대한 처벌과 재발 방지 노력 촉구 효과는 떨어지고, 국고 수익은 줄어든다. 대신 법률대리를 맡은 대형 법무법인들의 성공보수만 올라간다. 

정보보호 인증 제도 무용론을 넘어 폐해론까지 나오는 배경이다.

정보보호 인증 제도의 허점과 한계는 오래 전부터 제기됐다. 보완 요구가 빗발쳤다.

2023년 7월12일 LG유플러스 개인정보 유출 과징금 처분 심결을 위해 열린 '제12회 개인정보보호위원회 회의'에서도 같은 논란이 일었다.

"제가 ISMS-P 인증위원회 위원을 하고 있는데, 여기(LG유플러스)도 인증을 받았더라구요. 그런데 심사팀장들이 가서 대개 단종된 제품들, 그러니까 운영체제가 수명이 다한 것들, 아니면 단종된 제품들을 강력하게 교체하라고 얘기를 못하더라구요. 왜냐하면 현재 상태는 어떻게 돼 있느냐면, 이런 단종된 제품이 있으니까 CISO(최고정보보호책임자) 책임 하에 빨리 계획을 세워서 고쳐라, 이렇게 얘기하고 있더라구요. 그 이유는 현재 제공되는  서비스가 중단될 우려가 있다, 서비스가 가용성이 굉장히 중요한데, 조금 기술적 부분도 있고 그것을 바로 바꾸기가 어려운 부분이 있습니다."

당시 회의에서 염홍렬 개인정보보호위원이 정보보호 인증 제도의 한계를 지적한 말이다. 염 위원은 이어 "그래서 그것이 진짜 적당한 이유인지는 우리 위원회가 한번 관련 분들을 모셔서 의견을 듣고, 만약 그 의견에 따라 가능하면 (조치를 해야 합니다). 왜냐하면 단종된 제품은 그냥 취약점이 그대로 있는 것이거든요. 누구든지 공격하면 뚫릴 가능성이 크거든요. 그런 부분을 살펴볼 필요성이 있습니다."

"ISMS-P 인증 취득이 (과징금) 감경 사유로 계속 거론되고 있습니다. 인증 받은 시점에는 문제가 없지만, 인증 받은 이후에 어떤 문제점이 나타나는 경우에도 인증을 받았다고 (과징금을) 감경해주는 게 맞는 것입니까?"(이희정 위원)

"ISMS-P의 기본적인 철학은 스스로 잘하게 하는 것입니다. 그런데 심사팀이 가서 모든 시스템을 다 볼 수는 없습니다. 그 중에서 일부만 샘플링 검사를 하고 있습니다. 심사팀은 현장에 가서 최소한 그런 체계가 갖춰져 있고 프로세스가 작동하고 있는지만 보는 것입니다."(염홍열 위원)

이어진 발언들이다. 정보보호 인증 제도의 허점과 한계를 들며, 피심인이 정보보호 인증을 받은 점을 앞세워  과징금 감경을 요구하는 게 합당한 지 등을 짚고 있다.
  정부는 지난해 10월 '범부처 정보보호 종합대책'을 발표하며 "보안 인증 제도(ISMS·ISMS-P)를 현장 심사 중심으로 전환하고, 중대한 결함이 발생하는 경우 인증을 취소하겠다"는 내용의 개선 방침을 밝혔다.

하지만 대책을 발표하고 해가 바뀌었는데도, 아무런 실행 방안도 내놓지 못하고 있다. 기준을 만든다며 꼼지락거리기만 하고 있는 모습이 역력하다.

문득 궁금했다. 정보보호 인증 제도란 게 어떤 '먹이사슬'이나 어떤 의사결정 구조를 갖고 있길래, 제구실을 못해 전면 폐기 지적까지 나오고 있는 데도 개선이 이뤄지지 않는 걸까.

한국인터넷진흥원(KISA) 누리집 설명을 보면, 정보보호 인증 가운데 'ISMS(International Security Management System)'는 '정보보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도'다. 'ISMS-P'는 ISMS에 개인정보보호 인증을 더한 것이다.

과기정통부와 개인정보보호위가 개인정보보호법(제32조의2)과 정보통신망법(제47조)에 따라 '정보보호 및 개인정보 보호 관리체계 인증 등에 관한 고시'로 운영한다. 한국인터넷진흥원과 금융보안원(FSI)이 인증기관으로 지정돼 있다.

인증 기관은 정보보호 인증 신청을 받으면, 관리체계 수립 및 운영(16개), 보호대책 요구사항(64개), 개인정보 처리단계별 요구사항(21개) 등 105개 기준을 잣대로 대상 기업이나 기관의 정보보호 및 개인정보 보호 수준을 심사해 인증을 내어준다.

인적·물적 보안 수준은 물론 해킹 방어 정도, 주요 정보의 암호화 여부, 해킹 및 개인정보 유출 사고 시 복구와 정보 주체 보호 대책, 위험 관리 등 보안과 관련된 모든 항목을 살핀다. 심사 과정에는 관련 협회와 학회 등 외부 전문가 집단도 참여한다.

인터넷서비스제공자(ISP), 인터넷데이터센터(IDC) 운영자, 종합병원, 학교, 플랫폼 사업자 등 정보통신망을 이용하는 사업자 대부분이 의무 인증 대상이다. 지난해 말 기준  ISMS-P 누적 인증 건 수는 1224건에 달한다. 인증 건 수는 해마다 증가하는 추세다.

정보보호 인증 제도의 목적은 해킹과 개인정보 유출 사고를 예방하는 것이다. 해킹 공격과 개인정보 유출에 대한 대응은 물론 사고 발생 시 복구 대응 능력을 미리 키워놓자는 것이다.

제도 취지에 맞춰 엄격한 인증 심사와 사후 관리가 이뤄졌다면, 적어도 SK텔레콤과 KT에서 일어난 것과 같은 '보안 소홀에 따른' 해킹과 개인정보 유출 사고는 없어야 했다. 쿠팡처럼 관련 인력 관리 소홀에 따른 개인정보 유출 사고도 절대 일어나면 안되는 일이다.

당연히 SK텔레콤 통신망 해킹 사고 때처럼 피해 가입자들이 유심 교체 오픈런을 하고, 대리점 앞에 길게 줄을 서는 상황도 발생하면 안됐다.

무엇보다 보안을 소홀히 하다가 해킹과 개인정보 유출 사고를 당한 기업들의 공통점 가운데 하나가 정보보호 인증을 받았다는 거였다는 게 말이 안된다.

'초보 해커'도 이동통신·금융·플랫폼 기업의 통신망과 서버에 침투해 개인정보를 빼내갈 수 있을 정도로 정보보호 인증 잣대 수준이 낮았거나, 인증 받은 기업들이 이 잣대에 맞춰 보안 관리와 투자를 해왔다고 추정할 수밖에 없다.

이 역시 정보보호 인증 무용론과 폐해론에 힘이 실리는 이유다.   

범정부 정보보호 종합 대책과 개인정보보호위 과징금 심결 속기록 등을 보면, 정부는 이미 오래 전부터 정보보호 인증 제도의 허점과 한계는 물론 해법까지 알고 있었다. 정보보호 종합대책에 담은 대로, 인증 심사를 꼼꼼한 현장 심사 중심으로 전환하고, 중대한 결함 발생 시 인증을 취소하면 됐다. 속기록 발언대로, 정보보호 인증을 받은 기업에 대한 사후관리를 강화하면 됐다.

정보보호 인증은 고시로 운영되는만큼, 해당 부처의 의지 만으로도 충분히 개선 가능하다. 법 개정은 물론 국무회의 의결조차 필요 없다.

해킹과 개인정보 유출 사고 발생 기업의 보안 수준은 민관합동조사단 조사 단계에서 이미 드러났다. SK텔레콤과 KT는 물론 쿠팡 등도 보안이 소홀한 수준을 넘어 완전 엉터리였던 것으로 드러났다. 보안이 허술하다는 사실을 숨기기 위해 서버(컴퓨터) 기록을 삭제하는 등 불법 행위를 저지른 것으로 드러나 수사를 받고 있기도 하다.

이런 조사 결과 발표 즉시, 해당 기업이나 기관의 정보보호 인증은 취소하는 게 맞다. 하지만 지난해 '해킹 및 개인정보 유출 난리'를 겪는 상황에서도 정보보호 인증 취소 사례는 없었다. 되레 정보보호 인증을 받았다는 이유로 정보유출 과징금 감경이 이뤄졌다.

2023년 LG유플러스 개인정보 유출 과징금 심결 회의 속기록에 담긴 과징금 감경 읍소 대목을 보자.

"다음으로 추가 감경 사유를 말씀드리겠습니다. 피심인의 경우 ISMS-P 인증을 보유하고…, 그리고 외부 전문가들을 통한 보안강화 노력 등의 감경 사유가 존재하므로 규정에 따라 50% 감경을 요청드립니다. 참고로 ISMS-P 또는 ISMS 인증으로 감경을 받은 사례를 살펴보면, OOO이 2022년에 50% 감경을 받은 사례가 있고, OOOO과 OOOO도 2016년에 PIMS 인증으로 각각 50% 감경을 받은 사례가 있었습니다. 당시 조사 방해 사유가 있었음에도 10%만 감경받은 게 아니라 20% 감경을 받은 선례도 있습니다."

"이런 선례를 고려하셔서 저희에게도 50% 감경을 적용해주실 것을 요청드립니다. (중략) 정부의 인증 정책을 잘 따르는 데에 대한 인센티브를 부여해주신다면 정책적 차원에서도 많은 사업자들이 ISMS-P 인증을 받아 개인정보 보호에 적극 동참하는 등 긍정적 효과를 기대할 수 있으리라 생각합니다. (중략) 위원회는 정보 주체에 대한 피해주제 조치 등을 취한 사업자에게 재량으로 90%까지 감경이 가능합니다."

당시 LG유플러스 개인정보 유출 과징금은 최대 900억원대까지 예상됐으나 실제로는 69억원이 부과되는데 그쳤다. 이 때 LG유플러스 법률대리를 맡았던 대형 법무법인은 당시 성공 사례를 발판으로 SK텔레콤 해킹과 개인정보 유출 사고 대응 법률대리를 맡았고, 다른 해킹과 개인정보 유출 사건도 줄줄이 수임하고 있는 것으로 알려졌다.
  더불어 당시 속기록에 담긴, 정보보호 인증을 앞세운 '과징금 추가 감경 사유' 논리는 이후 SK텔레콤 등 다른 기업 과징금 처분 속기록에서도 마치 관용구처럼 볼 수 있다.

정보보호 인증을 둘러싼 먹이사슬 구조가 광범위하게 구조화돼 있다는 사실을 보여준다. 정보보호 인증 제도가 개선되려면, 과기정통부와 개인정보보호위는 물론이고 인증기관인 인터넷진흥원과 금융보안원, 정보보호 인증 고시 적용 대상 기업·기관과 대형 법무법인 등 모든 당사자들의 이해관계가 맞아떨어져야 한다는 뜻이다.

정부가 제도 개선 방침을 밝히고도 꼼지락거리는 모습을 보이고 있는 이유도 여기서 찾을 수 있다. 정부가 제도 개선을 한다 해도 이미 인증을 받은 기업·기관들의 '이익'과 인증기관들의 '사업성'을 침해하지 않고, 해킹과 개인정보 유출 사고 발생 시 법률대리를 맡을 대형 법무법인들의 '밥그릇'(성공보수)를 해치지 않는 선에서 이뤄질 게 자명하다.

김보라미 변호사(법률사무소 디케)는 한겨레 기고에서 "무려 8년이나 기본적 보안수칙도 지키지 않아 약 2300만 명의 개인정보가 유출되었음에도, SK텔레콤에는 연 매출액에 비하면 미미한 수준의 과징금이 부과됐다. 추후 공개된 회의록에서 드러난 사실은, 최초 내부에서 산정한 과징금액이 몇몇 민간 비상임 위원들의 '기준 금액이 너무 높다'는 취지의 질문 뒤에 51%나 감액되었다는 것이다"라고 지적했다.

김 변호사는 이어 "규제기관들은 왜 제 역할을 못하거나 안하는 걸까"라는 질문을 던지며 "우리는 주무 규제 기관들이 대형 로펌과 긴밀한 관계를 맺고, 고위직 공무원들이나 중요 업무를 담당하는 직원들이 대형 로펌으로 이직하는 현상을 못마땅하게 볼 수밖에 없다. 왜 이런 기관의 중요 연구반이나 법령 연구 과정에서 대형 로펌 변호사들의 임김이 거센 것인지도 의심이 들기 충분하다"고 꼬집었다.

김 변호사의 지적대로라면, 정보보호 인증 개선 작업 역시 '대형 로펌 변호사들의 입김'에 따라 시늉에 그칠 수도 있다. 정보인권 보호 활동을 펴는 시민단체와 언론이 눈을 부릅뜨고 지켜봐야 하는 이유이다. 김재섭 선임기자