[취재수첩] PIMS 인증제 재점검해야
- 가
- 가
이유지 기자
[디지털데일리 이유지기자] 870만명의 고객 개인정보를 유출한 KT의 개인정보보호관리체계(PIMS) 인증이 최근 취소됐다.
해킹으로 대량의 개인정보를 유출한 사실을 방송통신위원회와 KISA에 늦게 알려 기어이 인증을 받은 것이 화근이 됐다.
한국인터넷진흥원(KISA)과 외부 전문가로 구성된 인증위원회는 이 뿐만 아니라 심사과정에서 KT가 인증범위에 중요 자산 등을 일부 누락했고, 보완조치 결과와 실제 운영을 달리 하고 있다며 거짓으로 인증을 받았다고 판단했다.
또 현재 KT의 개인정보보호관리체계가 인증을 유지할만한 기준을 충족하고 있지 않고 있다고 간주했다.
KT는 이번 사고가 발생하기 훨씬 전인 3월에 인증심사를 완료했다는 점을 강조했지만 사고를 낸 기업이고 유출 사실을 숨기고 인증 받은 점에서 인증 취소 결과에 할 말은 없게 됐다.
그런 측면에서 이번 결정이 “당연한 결과”라는 반응이 대부분이다. 그런데 의외로 다른 목소리도 많이 들려온다.
보안 관련업계와 전문가들은 “PIMS의 신뢰성을 떨어뜨렸다”, “인증 심사에 한계성을 드러냈다”는 의견도 많이들 내놨다.
인증을 획득했거나 준비 중인 기업을 포함한 일부 기업 보안담당자 사이에서는 “앞으로 개인정보유출 사고가 나면 인증이 취소되는 것 아니냐”는 우려마저 나오고 있다.
그러다보니 “여러 사정으로 분기 말에 인증위원회가 열리지 못하거나 인증심사원 교육에 들어가지 못해 심사나 인증이 몇 달 미뤄지는 경우, 그 사이 사고라도 당하게 되면 인증을 받지 못하게 될 수 있지 않냐”라거나 “사고를 당한 기업에 방통위가 실태조사 들어가면 당연히 뭔가는 나올 테니, 모든 기업은 인증 심사를 ‘거짓’으로 받았거나 인증기준을 충족하지 못한 것으로 간주될 수도 있다. 이번 사례가 사고 당한 기업은 인증을 취소한다고 해석할 수밖에 없다”는 말까지 있다.
심지어 “인증기관이 원칙과 기준 없이 이슈에 휘둘리는 것 같다”는 목소리도 나왔다.
여러 말이 나오는 데에는 분명히 이유가 있을 것이라고 본다. 적합한 시점도 됐다. KT 문제로 불거졌지만 그와는 별개로도, PIMS 제도를 이번 기회에 점검해볼 필요가 있다는 생각이다.
PIMS 인증을 신청해 심사 및 인증, 사후관리하는 전 과정에 세부 기준을 마련하고 원칙을 바로 세우는 동시에 운영관리 측면도 점검해봐야 할 것 같다.
민간 자율 인증으로 PIMS를 시행한 지 2년, 더욱이 올해 개정·공포된 정보통신망법에 PIMS 인증이 포함돼 법적근거를 갖게 되는 시점이다.
방통위는 내년 2월 PIMS가 법적 인증으로 시행되는 시점에 맞춰 현재 관련 세부기준 고시를 마련하고 있다. 현재는 정보보호관리체계(ISMS) 고시를 준용하고 있지만, PIMS에 맞춰진 인증 방법과 절차 등을 명시한 세부기준이 생긴다. 이 고시안을 제대로 마련할 필요가 있다는 것이다.
필요하다면 인증심사원 교육 확대, 심사기간 연장, PIMS 인증기관 확대, 사후관리 기간 조정과 같은 방안도 추가로 검토해야 한다.
또 한 가지는 PIMS 시행 취지와 목적, 역할도 보다 명확히 인지되도록 해야 한다는 점이다. 그래야 PIMS 인증 의미가 호도되지 않을 것이다.
PIMS 인증은 ‘개인정보 안전기업’임을 보증해주는 것이 아니다. PIMS 인증을 받은 기업은 개인정보 유출 사고가 발생하지 않을 것이라고 인증해준 것이 아니란 얘기다.
다른 한편으로 PIMS 인증이 사고 시 기업에 면죄부를 주기 위한 혜택처럼 여겨지는 것도 바람직하지 않다.
정부가 PIMS 인증제를 시작한 이유는 기업 스스로 고객정보를 기업의 핵심자산으로 인식해 당연히 해야 할 개인정보보호 활동이라는 사회적 책임을 유도하기 위한 것이었다.
PIMS 인증기업이 개인정보 유출 사고 시 과징금 감면 혜택을 지원해주기로 한 것도 그 일환이었다.
목적이 아닌 결과로, PIMS 인증은 기업의 입장에서 개인정보보호 활동을 적극 벌였다는 것을 증명할 근거로 활용되고 있다.
대규모 피해자를 양산하는 워낙 민감한 보안 사고와 결부돼 있는 PIMS 제도를 시행하는 것은 무척 어려운 일이다. 걸맞는 책임성과 신뢰성, 체계적인 운영관리가 강조돼는 이유이기도 하다.
<이유지 기자> yjlee@ddaily.co.kr
해킹으로 대량의 개인정보를 유출한 사실을 방송통신위원회와 KISA에 늦게 알려 기어이 인증을 받은 것이 화근이 됐다.
한국인터넷진흥원(KISA)과 외부 전문가로 구성된 인증위원회는 이 뿐만 아니라 심사과정에서 KT가 인증범위에 중요 자산 등을 일부 누락했고, 보완조치 결과와 실제 운영을 달리 하고 있다며 거짓으로 인증을 받았다고 판단했다. 또 현재 KT의 개인정보보호관리체계가 인증을 유지할만한 기준을 충족하고 있지 않고 있다고 간주했다.
KT는 이번 사고가 발생하기 훨씬 전인 3월에 인증심사를 완료했다는 점을 강조했지만 사고를 낸 기업이고 유출 사실을 숨기고 인증 받은 점에서 인증 취소 결과에 할 말은 없게 됐다.
그런 측면에서 이번 결정이 “당연한 결과”라는 반응이 대부분이다. 그런데 의외로 다른 목소리도 많이 들려온다.
보안 관련업계와 전문가들은 “PIMS의 신뢰성을 떨어뜨렸다”, “인증 심사에 한계성을 드러냈다”는 의견도 많이들 내놨다.
인증을 획득했거나 준비 중인 기업을 포함한 일부 기업 보안담당자 사이에서는 “앞으로 개인정보유출 사고가 나면 인증이 취소되는 것 아니냐”는 우려마저 나오고 있다.
그러다보니 “여러 사정으로 분기 말에 인증위원회가 열리지 못하거나 인증심사원 교육에 들어가지 못해 심사나 인증이 몇 달 미뤄지는 경우, 그 사이 사고라도 당하게 되면 인증을 받지 못하게 될 수 있지 않냐”라거나 “사고를 당한 기업에 방통위가 실태조사 들어가면 당연히 뭔가는 나올 테니, 모든 기업은 인증 심사를 ‘거짓’으로 받았거나 인증기준을 충족하지 못한 것으로 간주될 수도 있다. 이번 사례가 사고 당한 기업은 인증을 취소한다고 해석할 수밖에 없다”는 말까지 있다.
심지어 “인증기관이 원칙과 기준 없이 이슈에 휘둘리는 것 같다”는 목소리도 나왔다.
여러 말이 나오는 데에는 분명히 이유가 있을 것이라고 본다. 적합한 시점도 됐다. KT 문제로 불거졌지만 그와는 별개로도, PIMS 제도를 이번 기회에 점검해볼 필요가 있다는 생각이다.
PIMS 인증을 신청해 심사 및 인증, 사후관리하는 전 과정에 세부 기준을 마련하고 원칙을 바로 세우는 동시에 운영관리 측면도 점검해봐야 할 것 같다.
민간 자율 인증으로 PIMS를 시행한 지 2년, 더욱이 올해 개정·공포된 정보통신망법에 PIMS 인증이 포함돼 법적근거를 갖게 되는 시점이다.
방통위는 내년 2월 PIMS가 법적 인증으로 시행되는 시점에 맞춰 현재 관련 세부기준 고시를 마련하고 있다. 현재는 정보보호관리체계(ISMS) 고시를 준용하고 있지만, PIMS에 맞춰진 인증 방법과 절차 등을 명시한 세부기준이 생긴다. 이 고시안을 제대로 마련할 필요가 있다는 것이다.
필요하다면 인증심사원 교육 확대, 심사기간 연장, PIMS 인증기관 확대, 사후관리 기간 조정과 같은 방안도 추가로 검토해야 한다.
또 한 가지는 PIMS 시행 취지와 목적, 역할도 보다 명확히 인지되도록 해야 한다는 점이다. 그래야 PIMS 인증 의미가 호도되지 않을 것이다.
PIMS 인증은 ‘개인정보 안전기업’임을 보증해주는 것이 아니다. PIMS 인증을 받은 기업은 개인정보 유출 사고가 발생하지 않을 것이라고 인증해준 것이 아니란 얘기다.
다른 한편으로 PIMS 인증이 사고 시 기업에 면죄부를 주기 위한 혜택처럼 여겨지는 것도 바람직하지 않다.
정부가 PIMS 인증제를 시작한 이유는 기업 스스로 고객정보를 기업의 핵심자산으로 인식해 당연히 해야 할 개인정보보호 활동이라는 사회적 책임을 유도하기 위한 것이었다.
PIMS 인증기업이 개인정보 유출 사고 시 과징금 감면 혜택을 지원해주기로 한 것도 그 일환이었다.
목적이 아닌 결과로, PIMS 인증은 기업의 입장에서 개인정보보호 활동을 적극 벌였다는 것을 증명할 근거로 활용되고 있다.
대규모 피해자를 양산하는 워낙 민감한 보안 사고와 결부돼 있는 PIMS 제도를 시행하는 것은 무척 어려운 일이다. 걸맞는 책임성과 신뢰성, 체계적인 운영관리가 강조돼는 이유이기도 하다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
[취재수첩] 금융지주 회장들, 올해도 국감장에 '총알받이' 내보낼 건가
2024-09-20 12:52:56 -
2024-09-20 11:19:49
-
울랄라랩, 산업현장 DX솔루션 사업 日 진출 본격화…유니솔그룹과 총판 협약
2024-09-20 11:17:42 -
“기술 줄게, 인프라 다오”…핀테크-금융사 연합 강화하는 이유
2024-09-20 10:42:05 -
금투세 논란에선 기세등등한 국민의힘… “민주당, 금투세 폐지로 당론 정리하라” 압박
2024-09-20 10:40:14
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.