[논평] 정보보호 국가인증제도 강화해야 한다.

- 온라인 사업자뿐만 아니라 모든 개인정보 취급 사업자로 확대해야 -

국내 굴지의 유통사를 포함해 17개 기업이 정부의 정보보호관리체계(ISMS) 인증을 받지 못한 것으로 드러났다. ISMS인증은 기업의 정보보호시스템에 대해 104개 항목을 점검해 인증해주는 것으로서 기업이 이를 통과하지 못하면 정보보호체계가 제대로 갖추어지지 않았다고 볼 수 있다. 그런데 여러 대기업이 인증을 받지 못했다는 것보다 더 큰 문제는 최근 고객정보유출대란을 만들었던 카드사들이 ISMS인증대상조차 아니라는 것이다.

카드사가 인증대상에서 빠져있다는 것은 상식적으로도 ‘비정상’이다. 인증대상을 ‘온라인거래로 인한 전년도 매출액이 100억원 이상이거나 개인정보가 저장·관리되는 일일 평균 이용자수가 100만명 이상인 정보통신서비스 제공자’로 한정했다는 것이 문제다. 인증대상을 이렇게 규정지은 덕에 카드사는 대부분의 매출이 오프라인에서 발생한다는 주장을 들어 인증대상에서 제외될 수 있었던 것이다. 이렇게 정부가 법과 시행령에 ‘비정상적인 기준’을 만든 탓에 개인정보를 취급하는 많은 기업들이 인증대상에서 제외되고 있다.

최근 8만 명이 가입되어 있는 한국공인중개사협회가 해킹에 의해 부동산거래계약서 595만건이 유출된 사건이 일어났다. 각종 신상정보는 물론 부동산 정보까지 포함되어 있어 상당한 후속 피해가 우려되는 사건이다. 이렇게 개인정보유출은 도처에서 일어나고 있다. 인증대상을 온라인사업자에만 한정해서는 개인정보유출사태를 결코 뿌리 뽑을 수 없다.

허술한 국가인증제도가 계속 도마 위에 오른다. 정부는 원전비리부터 시작해 철도, 군수품 등 부실한 인증제도로 몸살을 앓았던 지난 한 해를 돌아보길 바란다. ISMS인증은 대상을 온라인 사업자에 국한한 것부터 잘못되었다. 쓸데없는 단서조항을 만들어 기업봐주기하지 말고 법을 정비해서라도 정보보호 국가인증제도를 강화해야 한다. 그러기 위해서는 ISMS인증대상을 대규모 개인정보유출을 일으킨 은행, 카드사, 증권사 등 각종 금융기관과 통신사업자 등을 포함한 모든 개인정보 취급 사업자로 반드시 확대해야 한다.

2014. 2. 18

사단법인 민생경제정책연구소