정보보호 인증 효용성 논란…대기업서 개인정보 유출 잇따라
과방위 국감서 ISMS 관리 문제 질타…KISA "인증체계 강화 방안 논의할 것"
(서울=연합뉴스) 고현실 기자 = 공인 정보보호 인증의 효용성이 국정감사장에서 도마 위에 올랐다. 인증을 받은 대기업에서 정보 유출 사고가 발생하고, 인증 관리 기관 내부에서도 규정을 지키지 않는 것으로 드러났다.
17일 국회 과학기술정보방송통신위원회 국정감사에서 박홍근 더불어민주당 의원이 공개한 자료에 따르면 작년부터 올해 8월까지 정보보호 관리체계(ISM) 인증을 받은 기업 7곳이 개인정보 유출 사고를 낸 것으로 확인됐다.
해당 기업은 인터파크[108790], 위메프, LG유플러스[032640], 아시아나항공[020560] 등이다.
ISMS는 한국인터넷진흥원(KISA)이 운영하는 국내 최고 수준의 종합 정보보호 인증제도이다.
인터파크는 ISMS뿐 아니라 개인정보보호관리체계(PIMS) 인증까지 받았지만, 개인정보 유출 사고가 발생했다.
박홍근 의원은 "현재까지 개인정보 유출 사고로 인증이 취소된 사례는 없다"며 "보안사고가 발생한 기업은 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 지적했다.
인증을 관리하는 KISA 내부에서도 인증 규정을 준수하지 않았다는 지적도 나왔다.
박대출 자유한국당 의원이 공개한 KISA 자체 감사 자료에 따르면 작년 5월 직원 A씨는 한 보안업체가 악성코드 정보 수집을 위해 진행한 경품 이벤트에 응모하기 위해 KISA 내부 시스템에 있는 악성코드 정보에 접근했다.
A씨는 시스템 접근 권한이 없었지만, 권한이 있는 다른 직원의 계정을 빌려 시스템에 접속했다.
KISA는 자체 감사에서 유출 시도 사실을 파악하고, 해당 직원에게 견책 처분을 내렸다. 실제 정보가 유출된 정황은 없는 것으로 보고 있다.
박대출 의원은 "ISMS 점검 항목에는 시스템 비인가자 접근 통제가 포함돼 있다"며 "인증 기관인 KISA가 ISMS 점검 기준을 따랐다면 일어나지 않았을 일이다. 고양이에 생선을 맡긴 꼴"이라고 지적했다.
김성태 자유한국당 의원은 "ISMS와 PIMS 인증 항목이 중복되면서 기업에 재정적 부담을 주고, 혈세 낭비로 이어진다"며 "법률로 강제해 ISMS와 PIMS를 통합해야 한다"고 주장했다.
박정호 KISA 부원장은 "유출 사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(인증체계) 강화 방안을 관계부처와 논의하겠다"고 답했다. 이어 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다"며 "통합은 긴밀하게 검토하겠다"고 말했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
과방위 국감서 ISMS 관리 문제 질타…KISA "인증체계 강화 방안 논의할 것"
(서울=연합뉴스) 고현실 기자 = 공인 정보보호 인증의 효용성이 국정감사장에서 도마 위에 올랐다. 인증을 받은 대기업에서 정보 유출 사고가 발생하고, 인증 관리 기관 내부에서도 규정을 지키지 않는 것으로 드러났다.
17일 국회 과학기술정보방송통신위원회 국정감사에서 박홍근 더불어민주당 의원이 공개한 자료에 따르면 작년부터 올해 8월까지 정보보호 관리체계(ISM) 인증을 받은 기업 7곳이 개인정보 유출 사고를 낸 것으로 확인됐다.
해당 기업은 인터파크[108790], 위메프, LG유플러스[032640], 아시아나항공[020560] 등이다.
ISMS는 한국인터넷진흥원(KISA)이 운영하는 국내 최고 수준의 종합 정보보호 인증제도이다.
인터파크는 ISMS뿐 아니라 개인정보보호관리체계(PIMS) 인증까지 받았지만, 개인정보 유출 사고가 발생했다.
박홍근 의원은 "현재까지 개인정보 유출 사고로 인증이 취소된 사례는 없다"며 "보안사고가 발생한 기업은 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 지적했다.
인증을 관리하는 KISA 내부에서도 인증 규정을 준수하지 않았다는 지적도 나왔다.
박대출 자유한국당 의원이 공개한 KISA 자체 감사 자료에 따르면 작년 5월 직원 A씨는 한 보안업체가 악성코드 정보 수집을 위해 진행한 경품 이벤트에 응모하기 위해 KISA 내부 시스템에 있는 악성코드 정보에 접근했다.
A씨는 시스템 접근 권한이 없었지만, 권한이 있는 다른 직원의 계정을 빌려 시스템에 접속했다.
KISA는 자체 감사에서 유출 시도 사실을 파악하고, 해당 직원에게 견책 처분을 내렸다. 실제 정보가 유출된 정황은 없는 것으로 보고 있다.
박대출 의원은 "ISMS 점검 항목에는 시스템 비인가자 접근 통제가 포함돼 있다"며 "인증 기관인 KISA가 ISMS 점검 기준을 따랐다면 일어나지 않았을 일이다. 고양이에 생선을 맡긴 꼴"이라고 지적했다.
김성태 자유한국당 의원은 "ISMS와 PIMS 인증 항목이 중복되면서 기업에 재정적 부담을 주고, 혈세 낭비로 이어진다"며 "법률로 강제해 ISMS와 PIMS를 통합해야 한다"고 주장했다.
박정호 KISA 부원장은 "유출 사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(인증체계) 강화 방안을 관계부처와 논의하겠다"고 답했다. 이어 "ISMS와 PIMS는 공통사항이 있지만 다른 부분도 있다"며 "통합은 긴밀하게 검토하겠다"고 말했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
