: 쿠팡, 대규모 개인정보 유출 사고로 인증 체계 개편 발표

쿠팡이 2024년 3월에 정보보호 및 개인정보보호 관리체계 인증ISMS-P을 경신했다. 그러나 인증 이후 4건의 개인정보 유출 사고가 발생했고, 한창민 사회민주당 의원실에 따르면 2020년 이후부터 2024년 11월까지 27개의 ISMS-P 인증 기업에서 34건의 유출 사고가 발생했다. 이에 정부는 서류 중심의 인증 심사를 예비·현장심사로 전환하고, 현장심사 시 모의 해킹을 실시할 계획이다. 중대 결함이 발견되면 인증을 즉시 취소한다.

개인정보보호위원회는 2024년 11월 3일 긴급 전체 회의를 열고, 쿠팡에 유출된 항목을 빠짐없이 반영해 이용자에게 재공지하라고 요청했다. 공지 기간은 일정 기간 이상이어야 하며, 이용자 피해 예방을 위한 구체적인 요령도 적극 안내해야 한다. 쿠팡은 7일 안에 조치 결과를 개인정보위에 제출해야 한다. 이는 개선 권고에 해당하나, 직접적 집행력이 없어 따르지 않아도 제재할 수 없다. 개인정보위 관계자는 쿠팡이 개선 권고를 따를지 여부를 통해 국내 소비자를 어떤 식으로 바라보는지를 알 수 있다고 밝혔다. 개선 권고를 이행하지 않으면 이후 실제 제재 시 영향을 줄 수 있다.

김승주 고려대 정보보호대학원 교수는 정부가 ISMS-P를 현실화하기 위해 모의 해킹 중심으로 검토하고 있다고 평가했다. ISMS-P 평가자들을 모아 현장의 다양한 의견을 수렴해야 한다고 제안했다. 정부는 이와 같은 개편을 통해 인증 체계의 유용성과 신뢰성을 강화한다.

정부는 쿠팡의 사고를 기점으로 ISMS-P 체계를 개편해, 인증 과정의 현실성과 효과성을 확대한다.

@Meerae AI 빅데이터 연구소
meerae.info@gmail.com