유출사고 '면죄부' 된 정부 보안인증

보안 불감증 걸린 'IT코리아' (3)·끝 - 정부 규제의 두 얼굴

3500만명 털린 네이트, 인증 내세워 책임 면해
"징벌적 배상 도입해야"

2011년 7월에 벌어진 네이트와 싸이월드의 개인정보 유출 사건은 피해자가 3500만 명에 이르는 ‘역대 최악의 보안사고’로 손꼽힌다. 하지만 피해자들은 당시 서비스를 운영하던 SK커뮤니케이션즈(SK컴즈)로부터 아무런 보상을 받지 못했다. 2015년 서울고등법원은 “법령에서 정하는 기술적·관리적 보호 조치를 SK컴즈가 다했다고 인정된다”고 판단했다.

정부는 대규모 정보보호 사건이 터질 때마다 개인정보보호법, 정보통신망법, 신용정보보호법, 전자금융감독규정 등 관련 법률을 통해 규제를 강화했다. 하지만 이 같은 방침이 오히려 기업의 보안 투자를 소홀하게 하는 원인이 될 수 있다는 지적이 나온다. 구태언 테크앤로 대표(변호사)는 “규제 일변도 정보보호 정책은 보안 의식이 낮았을 때 효과를 봤지만 현재는 기업에 ‘면죄부’를 주는 수단으로 전락해버렸다”고 비판했다.

정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)는 정부가 기업이나 공공기관의 정보보호 안전성 확보 여부를 보증해주는 대표적인 인증제도다. ISMS는 전반적인 정보보호에 관한 내용이고 PIMS는 개인정보에 특화됐다는 차이가 있다. ISMS는 가입자와 매출이 일정 규모 이상인 인터넷사업자나 대학, 병원 등은 의무적으로 인증을 받아야 한다. PIMS는 의무인증은 아니지만 인증받은 기업에서 개인정보 사고가 발생했을 때 과징금과 과태료를 경감해주는 등 인센티브를 제공한다.

두 제도 모두 기업들이 보안체계를 갖출 수 있도록 돕는 일종의 ‘가이드라인’이지만 제도를 통합해야 한다는 지적이 계속되고 있다. ISMS와 PIMS 인증심사원으로 활동 중인 한 민간 전문가는 “두 인증제도의 항목 중 60~70%는 겹친다”고 말했다. 두 제도 모두 정보통신망법에 근거를 두고 있지만 ISMS는 미래창조과학부 소관이고 PIMS는 방송통신위원회가 관리한다.

인증제도의 실효성에 대한 논란도 끊이지 않고 있다. 2014년 1170만 명의 개인정보가 유출됐던 KT나 지난해 2540만 명의 정보유출 사고를 겪은 인터파크 모두 ISMS 인증을 받았다. ‘최소요건’이 돼야 하는 인증제도가 “이 정도만 하면 충분하다”는 ‘상한선’이 되고 있다는 지적이다.

전문가들은 보안은 기업의 자율에 맡기고 문제가 생겼을 경우 엄중한 책임을 물어야 한다고 지적하고 있다. 청와대 안보특별보좌관을 지낸 임종인 고려대 정보보호대학원 교수는 “피해가 없더라도 정보를 유출한 기업에 징벌적 배상제도 등 책임을 묻는 ‘채찍’이 필요하다”고 말했다.

이승우 기자 leeswoo@hankyung.com