💎 무색해진 정부 인증, ISMS-P의 신뢰성 위기
여러분, 국가에서 공인했다는 보안 인증을 딴 회사가 해킹당했다는 뉴스, 요즘 자주 보이지 않나요? SK쉴더스, 쿠팡 같은 빅네임들에서까지 대규모 정보 유출 사고가 터지면서, ‘ISMS-P’라는 인증 자체에 대한 근본적인 물음표가 커지고 있어요.
이건 단순한 ‘우리 회사는 안전해요’ 광고의 신뢰도 추락을 넘어서, 1년에 한 번 찍는 ‘우리 회사 스냅샷’으로 보안을 평가하는 현재 제도에 대한 경고음이에요.
개인정보보호위원회 통계에 따르면, 2020년 이후 ISMS-P 인증 기업 27곳에서 총 34건의 개인정보 유출 사고가 발생했답니다. 올해만 해도 SK텔레콤, KT, 롯데카드, 예스24, 넷마블… 이름만 들어도 알 만한 회사들이 줄줄이 사고 현장이 되었죠.
📉 인증 기업들의 ‘충격 실패’ 사례 집중 조명
- SK쉴더스: ‘보안 회사가 털렸다’는 충격적 사실. 랜섬웨어 공격으로 고객사 보안 정보까지 유출됐는데, 문제는 직원이 업무 자료를 개인 Gmail로 보내는 기본적인 실수가 원인이었다는 점이에요.
- 쿠팡: 2021년, 2024년 연이어 인증을 받았지만, 그 사이에만 유출 사고가 4건이나! 퇴사한 직원의 계정을 그대로 방치한 ‘내부자 통제 실패’가 원인이었다니, 인증은 대체 뭘 본 걸까요?
두 사례에서 공통점을 찾아보세요. 바로 ‘평소에는 허술하다가, 심사 때만 족집게 과외 받는 학생’ 같은 모습이에요. 이게 바로 ‘스냅샷 심사’ 방식의 가장 큰 한계점이에요.
💡 ISMS-P (정보보호 및 개인정보보호 관리체계 인증)이란?
과학기술정보통신부와 개인정보보호위원회가 함께 운영하는 국가 공인 제도예요. 기업의 정보보호 관리 수준을 인증해준다고 하지만, 최근 사고들은 ‘인증서’와 ‘실제 보안력’ 사이의 간격이 생각보다 클 수 있음을 여실히 보여주고 있죠.
그럼, 조금 더 자세히 이 충격적인 사례들을 들여다보면서, 도대체 어떤 일이 벌어졌는지 확인해볼까요? 🕵️♀️
🔥 인증 기업들의 충격적 보안 사고, 현장 속으로
SK쉴더스: 허니팟이 역으로 당하는 아이러니
보안 회사의 최고 수치를 당한 사건이에요. ‘블랙쉬란택’이라는 조직의 공격으로 약 15GB의 내부 자료가 통째로 유출됐어요. 문제는 여기서 그치지 않았죠. 이 자료엔 SK텔레콤을 비롯한 금융기관 15곳, 민간 기업 120곳의 극비 정보까지 포함되어 있었답니다.
“허니팟(해커 유인용 가짜 시스템)에 가짜 문서가 있었다”는 첫 해명은 하루 만에 번복됐어요. 결국 진실은, 직원이 업무 자료를 개인 Gmail로 전송하는 과정에서 터졌다는 것. ISMS-P의 기본인 ‘정보자산 분류’와 ‘보안 구역 지정’은 어디로 간 걸까요?
쿠팡: 퇴사자 계정, 5개월 동안 ‘열린 문’
IT 첨단 기업의 이미지와는 달리, 사고 원인은 너무나 초보적이었어요. 바로 퇴직한 직원의 접근 권한을 5개월이나 폐기하지 않은 것이죠. 이 중국인 전 직원은 인증 관련 업무를 담당했던 사람이었는데, 그의 계정으로 인해 무려 3370만 건의 고객 정보가 유출되는 대형 사고가 발생했어요.
송경희 개인정보보호위원장도 국회에서 이를 공식 지적했듯, 이건 ISMS-P가 정한 ‘외부자 관리’와 ‘접근 권한 관리’ 기준을 정면으로 무시한 사례예요.
개인정보위 통계에 따르면, 2020년 이후 ISMS-P 인증을 받은 기업 27곳에서만 총 34건의 개인정보 유출 사고가 발생했습니다. 올해만도 SK텔레콤, KT, 롯데카드, 예스24, 넷마블 등 유수의 인증 보유 기업에서 잇따라 사고가 보고되었습니다.
기본이 무너진 현장 vs. ‘한 번 찍고 끝’ 심사
이 모든 사고는 결국 하나의 질문으로 귀결돼요. “1년에 딱 5일만 확인하는 심사로, 진짜 보안을 담보할 수 있을까?”
- 정보자산 분류 무시: SK쉴더스 직원의 개인 메일 사용.
- 접근 권한 관리 실패: 쿠팡의 퇴직자 계정 장기 미폐기.
- 사후 심사 미비: 인증 기간 중 여러 사고에도 인증 유지.
이런 일들이 가능했던 배경엔, 현재 심사 방식인 ‘스냅샷(Snapshot) 심사’의 구조적 한계가 자리하고 있어요. 마치 건강검진 날에만 건강해지는 것처럼, 심사 기간에만 ‘완벽한 보안 모습’을 보여주면 되는 시스템이죠.
💭 여러분의 회사나 알고 계신 곳은 어떠신가요? ‘인증 유지’를 위한 서류 작업에 더 집중하는 느낌은 없으신가요?
그럼, 이 ‘스냅샷 심사’가 정확히 어떤 문제를 내포하고 있는지, 본격적으로 파헤쳐 보도록 해요!
📸 ‘스냅샷 심사’의 진짜 문제, 구조를 보자
결국 모든 문제의 시작은 여기서부터예요. ISMS-P 심사는 기본적으로 1년에 단 한 번, 정해진 며칠(보통 5일) 동안의 모습만을 확인하는 방식으로 이루어져요. 한국어로 직역하면 ‘순간포착 심사’죠.
이 방식의 가장 큰 문제는, 평소 360일의 보안 상태는 심사 대상이 아니라는 점이에요. 그래서 ‘심사 기간만 버티면 된다’는 왜곡된 인센티브가 생기고, 기업들은 실질적 보안 강화보다 서류 정비와 형식적 준수에 더 매달릴 수밖에 없어요.
‘5일 왕창 일하기’ vs ‘365일 꾸준히 관리하기’
한창민 국회의원의 지적처럼, 사후심사는 “특정 시점 5일 동안의 관리체계 작동 여부만 확인하는 수준”에 그칠 수 있어요. 쿠팡이 두 차례 인증을 받은 사이에 4건의 사고가 터진 것은, 심사와 심사 사이의 기간이 완전한 ‘사각지대’가 될 수 있음을 증명하죠.
“실질 심사보다 형식적 심사에 그칠 가능성이 있다.” – 권헌영 고려대 정보보호대학원 교수
더 심각한 문제: 인증이 ‘딱지’가 되다
여기서 끝나지 않아요. 현행법상 ISMS-P 인증을 받으면, 개인정보 유출 시 과징금을 감경받을 수 있는 사유가 된답니다. 이게 무슨 뜻이냐면, 기업 입장에서는 ‘진짜 안전해져서’ 인증을 받는 게 아니라, ‘나중에 벌금 덜 내려고’ 인증을 따는 동기가 생길 수 있다는 거예요. 인증의 본질이 완전히 뒤틀리는 순간이죠.
🚀 그래서, 어떻게 고쳐야 할까? 3가지 개선 축
이 난국을 타파하고 인증의 신뢰도를 돌려받기 위해 전문가들이 제안하는 방향은 명확해요.
- 심사 패러다임 전환: 서류와 인터뷰 중심에서 벗어나, 실제 시스템 로그, 모니터링 기록 같은 생생한 데이터를 기반으로 평가해야 해요.
- 고위험 산업군 차등 관리: 쿠팡 같은 대형 플랫폼을 ‘고위험산업군’으로 지정한 것은 시작일 뿐이에요. 업종과 규모에 따라 심사 강도와 빈도를 달리하는 맞춤형 관리가 필요해요.
- 상시 모니터링 체계 도입: 가장 근본적인 해결책! 1년에 한 번 찍는 사진보다, 365일 라이브 방송처럼 지속적으로 점검할 수 있는 시스템을 도입해야 진정한 ‘관리체계’ 평가가 가능해져요.
요약하면, ISMS-P가 ‘서류상으로만 존재하는 보안’을 공식 인증해주는 도구가 되어서는 안 된다는 거예요. 진짜 평가받고, 진짜 개선되어야 하는 것은 회사 문화 깊숙이 스며든 일상적인 보안 습관이죠.
🔄 인증의 본질을 돌려달라: 전환의 시간
지금까지의 이야기를 정리하면, ISMS-P 위기는 단순한 ‘제도 보완’을 요구하는 수준을 넘어섰어요. 이제는 인증이 지향해야 할 본질적인 가치 자체를 다시 생각해볼 때입니다.
한계를 넘어서: 상시 모니터링으로의 진화
정부도 문제를 인식하고 ‘현장 중심 심사’ 전환을 발표했어요. 하지만 이걸로 충분할까요? 진정한 해결책은 연속적이고 동적인 평가 시스템을 구축하는 데 있을 거예요. 인공지능(AI)과 자동화 도구를 활용해 주요 보안 통제 항목이 평소에도 잘 작동하는지 실시간으로 점검할 수 있어야 해요.
강력한 책임과 함께하는 신뢰 회복
개인정보보호위원회가 쿠팡 사고 후 ‘인증 취소’ 검토를 예고한 것은 매우 중요하고 반가운 조치였어요. 인증을 주고만 있을 게 아니라, 기준을 지키지 않으면 철회하는 강력한 사후 관리가 따라줘야 제도의 견고함이 살아나죠.
“서류 중심 심사에서 벗어나 각 항목의 상시 이행 여부를 점검하는 방향으로 개선돼야 한다.”
결론적으로, 우리가 바라는 것은 겉멋만 든 ‘딱지’가 아니에요. 365일, 직원들의 손길과 시스템 속에서 살아 숨 쉬는 ‘지속 가능한 보안 문화’ 그 자체를 증명할 수 있는 인증제도예요.
이 위기를 보안 인증의 진정한 전환점으로 삼을 수 있을지, 우리 모두 지켜봐야 할 것 같아요.
❓ ISMS-P 인증, 궁금한 것 딱 4가지
Q1. ISMS-P 인증이 정확히 뭔가요? 평생 보증인가요?
A1. 국가가 공인하는 정보보호 관리체계 인증이지만, 절대 ‘평생 보증’이 아니에요! 특정 시점에 기준을 만족했다는 ‘적합성 평가’일 뿐이랍니다. 시간이 지나고 관리가 소홀해지면, 인증 받은 회사라도 언제든 위험에 노출될 수 있어요.
Q2. ‘스냅샷 심사’의 구체적 문제점은?
A2. 세 가지 핵심 문제가 있어요.
- 일시적 대응 유도: 1년 중 5일만 잘하면 된다는 생각을 만들 수 있어요.
- 평가의 사각지대: 심사 기간 외의 사고나 취약점은 간과되기 쉬워요.
- 서류의 함정: 문서상으로만 존재하는 정책이 실제로 작동하는지 알기 어려워요.
Q3. 인증 받은 기업이 왜 또 털리나요?
A3. 인증은 ‘과거의 한 순간’을 증명할 뿐, ‘현재와 미래의 안전’을 보장하지는 않아요. 아래 표처럼, 기본적인 보안 수칙을 평소에 지키지 않으면 인증서가 있어도 소용없죠.
| 기업 | 위반한 ISMS-P 기본 | 결과 |
|---|---|---|
| SK쉴더스 | 정보자산 분류/보안 구역 지정 | 개인 Gmail로 자료 전송 → 15GB 유출 |
| 쿠팡 | 접근 권한 관리/외부자 관리 | 퇴사자 계정 미폐기 → 3370만 건 유출 |
Q4. 우리는 어떻게 대응해야 하나요? (소비자/기업)
A4. 소비자는 ISMS-P 로고를 ‘절대적 안전 신호’가 아닌 ‘최소한의 참고 자료’로 봐야 해요. 더 중요한 건 그 기업이 사고 후 어떻게 투명하게 알리고 신속하게 대처하는지 관찰하는 거예요.
기업 담당자라면, ‘인증 획득’이 목표가 아닌 ‘지속 가능한 보안 문화 구축’이 진정한 목표가 되어야 한다는 점을 명심하세요. 서류 작업에 매몰되기보다, 직원 교육과 실무 과정에서 보안이 자연스럽게 스며들게 하는 게 더 중요해요.
👋 지금까지 ISMS-P 인증의 허와 실에 대해 함께 살펴봤어요. 이 글이 회사 보안에 대한 진지한 고민의 시작점이 되었으면 좋겠습니다. 여러분의 생각은 어떠신가요?
