'정부 인증' 받았다더니…검증도 갱신도 '허술'

<앵커>

사실상 전 국민의 개인정보가 빠져나갔지만, 쿠팡은 개인정보 보호와 관련된 정부 인증을 받은 기업입니다. 쿠팡뿐 아니라 최근에 개인정보가 유출된 다른 기업들도 모두 이 인증을 받았습니다.

제도 자체가 유명무실하단 지적이 나오는데, 뭐가 문제였는지 정성진 기자가 짚어봤습니다.

<기자>

쿠팡은 지난 2021년 3월 처음으로 '정보보호 및 개인정보보호 관리 체계', ISMS-P 인증을 획득하고 지난해 3월 한 차례 갱신했습니다.

ISMS-P는 해당 기업이 정보보호와 개인정보 보호를 위한 관리 체계를 갖추고 있음을 우리 정부가 인증하는 유일한 제도입니다.

쿠팡 역시 인증 사실을 적극적으로 홍보해 왔습니다.

하지만, 쿠팡이츠 배달원 13만여 명의 개인정보가 유출되는 등 인증 이후 이번까지 모두 네 차례나 사고가 발생했습니다.

최근 대규모 개인정보 유출 사고를 일으킨 SK텔레콤과 롯데카드, KT 등도 모두 해당 인증을 받은 기업입니다.

지난 2020년 이후 27곳의 인증 기업에서 34건의 개인정보 유출 사고가 일어났습니다.

해당 인증 제도의 심사 내용을 살펴봤습니다.

101개의 항목을 2주 동안 평균 5명의 심사원이 모두 확인해야 합니다.

현장 검증 항목들이 적시돼 있지만 서버 점검 등은 일부만 뽑아 살펴보는 게 현실입니다.

[염흥열/순천향대 정보보호학과 명예교수 : 모든 것에 대해서 다 체크할 순 없잖아요. 샘플링 검사해서 체크하고 있거든요. 실제로 인증하고 난 후에는 그게 구현이 안 된다면 결국은 그 인증 체계에 허점이 생긴 거죠.]

1년마다 사후 점검에 나서지만, 검증 기간은 더 짧고 항목도 제한적입니다.

기준에 미달하면 인증 취소를 하도록 돼 있지만, 인증이 취소된 기업은 단 한 곳도 없습니다.

[류재철/충남대 인공지능학과 교수 : 수시로 불시에 (정보보호 체계를) 체크할 수 있는, 어떤 실행력을 확인할 수 있는, 그런 체계를 만드는 게 필요합니다.]

인증을 받은 기업은 과징금과 과태료를 감경받을 수 있는데, 쿠팡은 지난 개인정보 유출 사건들에서 모두 50%를 감경받은 것으로 드러났습니다.

정부는 쿠팡 등 IT플랫폼 기업과 통신 사업자 등을 고위험 산업군으로 분류하고, 점검 항목과 방식을 강화하는 방안 등을 조만간 발표한다는 계획입니다.

(영상취재 : 최준식, 영상편집 : 김진원, 디자인 : 강윤정)