‘절차 인증’의 한계…쿠팡이 ISMS-P 받았는데도 뚫린 이유[이커머스 보안 쇼크]

▲박대준 쿠팡 대표이사가 2일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에서 고개를 돌려 생각에 잠겨 있다. (뉴시스)

국내 많은 대형 플랫폼이 개인정보보호 관리체계 인증(ISMS-P)을 보유하고 있음에도 유출 사고가 반복되면서 인증 제도의 실효성 논란이 커지고 있다. 쿠팡은 2021년과 2024년 두 차례 ISMS-P를 취득·갱신했지만 최근까지 총 네 번의 개인정보 유출 사고를 겪었다. 인증 취득에 필요한 절차적 요건을 충족하는 데만 집중하고 실제 보안 역량 강화는 뒤로 밀리는 구조적 한계가 드러났다는 지적이 나온다.

2일 국회 과학기술정보방송통신위원회 긴급 현안 질의에서도 이 같은 문제가 도마 위에 올랐다. 김승주 고려대 정보보호대학원 교수는 “ISMS-P에는 퇴직자 접근권한 회수 의무가 명시돼 있다”며 “쿠팡이 이를 제대로 관리하지 못했다는 점에서 운영 전반의 부실이 드러난다”고 지적했다. 이날 박대준 쿠팡 대표가 “퇴사자 권한은 말소 처리됐다”고 해명했지만, 인증을 받았음에도 내부 관리가 허술했다는 비판은 더 커지는 분위기다.

업계에 따르면 쿠팡에선 최근 5년간 △2021년 쿠팡이츠 배달원 13만5000여명 개인정보 유출 △2021년 앱 검색창·배너 광고 사이 회원정보 노출 △2023년 판매자 시스템 ‘윙’ 개인정보 노출 △2025년 3370만명 고객 개인정보 유출 등 총 네 건의 사고가 있었다. 특히 지난해 인증을 갱신하고도 정보 유출이 시작된 지 5개월이 지난 뒤에야 이상징후를 감지한 점은 제도 자체의 구조적 문제를 드러낸다는 평가다.

전문가들은 현행 ISMS-P가 ‘서류 점검 중심’에 머물러 실질적인 보안 수준과 괴리가 크다고 지적한다. 황석진 동국대 국제정보보호대학원 교수는 “ISMS-P는 서류 위주의 형식적 심사에 가깝기 때문에 실질적인 보안 수준과는 거리가 있다”며 “최근 1년 사이 인증 기업 30곳 이상에서 보안 사고가 터진 이유가 바로 여기에 있다”고 설명했다.

그 결과 기업들은 인증 취득을 위한 문서 정비에만 자원을 투입하고 실제 보안 시스템 강화는 소홀해지는 부작용이 발생한다. 대형 플랫폼일수록 이 문제는 더 심각해진다. 김명주 서울여대 지능정보보호학부 교수는 “큰 기업일수록 사고가 없던 기간이 길어지면 관리가 느슨해지는 구조가 반복된다”며 “덩치는 계속 커지는데 보안 관리 인력이나 시스템 투자는 줄이다 보니 다른 대규모 개인정보 유출 사태처럼 이번 쿠팡 사고도 예견된 측면이 있다”고 말했다.

이에 따라 ISMS-P를 절차 중심에서 ‘결과 중심 인증’으로 개편해야 한다는 목소리도 커지고 있다. 황석진 교수는 “지금같은 서류 위주의 심사는 인증 무용론만 키운다”며 “기술·관리·운영 영역을 실제 시나리오 기반으로 공격해보는 모의해킹 중심의 실질 심사로 전환해 인증의 신뢰도를 높여야 한다”고 강조했다.

김명주 교수도 “절차 인증과 반대되는 결과 인증은 정보보호에 돈을 얼마나 투자했든 상관없이 시스템을 직접 해킹해서 뚫리는지 보는 것”이라며 “정부의 모의해킹보다 해커는 한 수 위이기 때문에 실제 공격을 견딜 수 있는지 점검하는 것은 최소한의 방어선”이라고 말했다.