정보보호 인증 효용성 논란…대기업서 개인정보 유출 잇따라
위 국감서 ISMS 관리 문제 질타 KISA "인증체계 강화 방안 논의할 것"


고현실 기자



위에 올랐다. 인증을 받은 대기업에서 정보 유출 사고가 발생하고, 인증 관리 기관 내부에서도 규정을 지키지 않는 것으로 드러났다. 10월 17일 국회 과학기술정보방송통신위원회 국정감사에서 박홍근 더불어민주당 의원이 공개한 자료에 따르면 작년부터 올해 8월까지 정보보호 관리체계(ISM) 인증을 받은 기업 7곳이 개인정보 유출 사고를 낸 것으로 확인됐다. 해당 기업은 인터파크[108790], 위메프, LG유플러스[032640], 아시아나항공[020560] 등이다. 

ISMS는 한국인터넷진흥원(KISA)이 운영하는 국내 최고 수준의 종합 정보보호 인증제도이다. 인터파크는 ISMS뿐 아니라 개인정보보호관리체계(PIMS) 인증까지 받았지만, 개인정보 유출 사고가 발생했다. 박홍근 의원은 "현재까지 개인정보 유출 사고로 인증이 취소된 사례는 없다"며 "보안사고가 발생한 기업은 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 지적했다. 인증을 관리하는 KISA 내부에서도 인증 규정을 준수하지 않았다는 지적도 나왔다.'

박대출 자유한국당 의원이 공개한 KISA 자체 감사 자료에 따르면 작년 5월 직원 A씨는 한 보안업체가 악성코드 정보 수집을 위해 진행한 경품 이벤트에 응모하기 위해 KISA 내부 시스템에 있는 악성코드 정보에 접근했다. A씨는 시스템 접근 권한이 없었지만, 권한이 있는 다른 직원의 계정을 빌려 시스템에 접속했다. KISA는 자체 감사에서 유출 시도 사실을 파악하고, 해당 직원에게 견책 처분을 내렸다. 실제 정보가 유출된 정황은 없는 것으로 보고 있다. 

박대출 의원은 "ISMS 점검 항목에는 시스템 비인가자 접근 통제가 포함돼 있다"며 "인증 기관인 KISA가 ISMS 점검 기준을 따랐다면 일어나지 않았을 일이다. 고양이에 생선을 맡긴 꼴"이라고 지적했다. 김성태 자유한국당 의원은 "ISMS와 PIMS 인증 항목이 중복되면서 기업에 재정적 부담을 주고, 혈세 낭비로 이어진다"며 "법률로 강제해 ISMS와 PIMS를 통합해야 한다"고 주장했다. 

박정호 KISA 부원장은 "유출 사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(인증체계) 강화 방안을 관계부처와 논의하겠다"고 답했다. 이어 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다"며 "통합은 긴밀하게 검토하겠다"고 말했다.

인터넷에 '개인정보 사고팝니다' 하루 375건…해외서 급증
최명길 “올해 10만2천건 중 8만7천건이 국외 사이트”

‘다른 사람의 개인정보를 거래하고 싶다’는 인터넷 게시글이 하루 평균 375건 올라오는 것으로 조사됐다.

국내보다는 해외 사이트가 압도적으로 많아 한국인의 개인정보가 해외에서 대량 유통되는 것으로 파악된다. 10월 17일 국회 과학기술정보방송통신위원회 최명길 의원(국민의당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 개인정보 불법유통 게시물은 2015년 국내외를 합쳐 9만4천66건에서 작년 6만4천644건으로 줄었다가 올해 9월 기준으로 10만2천370건을 기록했다. 올해 들어 하루 평균 375건 올라오는 셈이다.

국내 게시물은 2015년 7만1천369건, 2016년 1만7천185건, 2017년 9월 1만4천884건으로 줄었지만, 국외에서는 급증세를 보였다. 국외 게시물은 2015년에는 전년보다 25% 증가한 2만2천697건이었고, 작년에는 4만7천459건으로 109% 급증했다. 올해는 9월까지 8만7천486건에 달했다. 해외에서 개인정보 불법유통 게시물이 주로 올라오는 곳은 유튜브나 유쿠 등 동영상 사이트로, 전체 게시물의 13.4%를 차지했다.

판매자들은 일반인의 관심을 끌 만한 동영상을 올린 뒤 하단에 설명글이나 댓글 형태로 개인정보 불법유통 게시글을 올리는 것으로 나타났다. 트위터 등 SNS를 통한 게시글도 점차 늘어 8.8%에 달했다. 해외 사이트가 많은 이유는 국내보다 제재가 덜하기 때문으로 파악된다. 국내에서는 개인정보를 거래했다가 적발돼 회원자격이 정지되면 재가입이 어렵지만 해외 사이트는 특별한 절차 없이 아이디를 바꿔 재가입할 수 있다. 한국인터넷진흥원이 불법 게시물을 상시 모니터링하며 삭제하고 있지만, 해외에서 발견되는 경우가 급증하면서 관리에 어려움을 겪고 있다.

최명길 의원은 “국내의 개인정보보호 조치가 강화되면서 불법 개인정보가 국외로 빠져나가는 ‘풍선 효과’가 나타난 것으로 보인다” “개인정보의 해외 불법유통을 효과적으로 차단할 수 있도록 국제공조를 강화할 필요가 있다”고 지적했다.
글쓴날 : [17-11-02 11:05] 신문관리자기자[news2466@naver.com]
신문관리자 기자의 다른기사보기