쿠팡 이어 신한카드도 최고정보관리인증 받았는데…사고 원인이 또 '관리 부실'

등록 2025.12.25 15:00:00

19만여 건 개인정보 유출된 신한카드도 ISMS-P 인증획득기업

쿠팡 이어 신한카드도 부실한 내부 관리 체계 도마…최고보안관리체계 인증 무색

정부 대대적인 인증체계 개편 예고…실효성 담보할까

[서울=뉴시스] 신한카드 본사 전경. (사진=뉴시스DB) photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 신한카드 본사 전경. (사진=뉴시스DB) [email protected] *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 약 19만건의 개인정보가 유출된 신한카드 역시 개인정보보호통합인증(ISMS-P) 획득기업인 것으로 나타났다. ISMS-P는 개인정보를 비롯해 기업의 정보관리 체계가 얼마나 잘 갖춰져 있는지 확인하는 국내 최고의 국가 자격 인증제도다.

그러나 이번 사고의 직접적인 원인도 허술한 내부 관리 체계에 있었던 것으로 밝혀지면서 ISMS-P 인증 부실 논란이 재차 가열되는 분위기다.

다만 정부가 쿠팡 사태를 계기로 인증 제도에 대한 대대적인 손질을 예고한 상황이어서, 실질적인 개선 효과로 이어질 지 좀 더 지켜봐야 한다는 게 전문가들의 지적이다.

"직원의 어이없는 실수"…개인정보 어떻게 관리했길래

24일 개인정보보호위원회에 따르면, 신한카드는 자사 가맹점 대표자 휴대전화 번호 등 개인정보 약 19만건이 유출된 것으로 추정된다며 당국에 신고했다.

구체적으로 2022년 3월부터 지난 5월까지 신규 가맹점 대표자의 ▲휴대전화번호 18만1585건 ▲휴대전화번호와 성명 8120건 ▲휴대전화번호와 성명, 생년, 성별 2310건 ▲휴대전화번호와 성명, 생년월일 73건 등 총 19만2088건이 신규 카드 모집에 이용하기 위해 유출된 것으로 파악됐다.

이에 대해 신한카드 관계자는 "해킹 등 외부 침투로부터 비롯된 것은 아니다"라며 "조사 결과 일부 내부 직원의 신규 카드 모집을 위한 일탈로 밝혀진 만큼 유출된 정보가 다른 곳으로 추가 확산될 염려도 없다"고 말했다.

하지만 내부 직원이 장기간에 걸쳐 개인정보를 반출한 정황이 알려지면서 기업이 알지 못한 경로로 정보가 추가 유출됐을 가능성을 완전히 배제하긴 어렵다는 게 보안 전문가들의 시각이다.

"기술 부재 아닌 관리 실패가 원인…내부자 통제가 핵심"

신한카드는 ISMS-P를 획득하고 업계 최초로 정보보호 전담 최고정보보호책임자(CISO)를 선임했다. 이를 기반으로 전사적 보안 체계를 구축해 왔다고 강조해 왔다.

하지만 이번 사고는 외부 해킹이 아닌 내부 직원이 영업 실적 확대를 위해 개인정보를 유출한, 전형적인 내부자 사고로 드러났다. 앞서 발생한 쿠팡 개인정보 유출 사고 원인과 비슷하다. 쿠팡 사고 원인도 퇴직자 계정 관리 미흡, 내부 접근 통제 부실 문제였다.

보안 전문가들은 이번 사고 본질을 기술적 한계가 아닌 관리 실패로 본다. 홍준호 성신여대 융합보안공학과 교수는 "최근 발생하는 개인정보 유출 사고는 해킹이 아니라 부실한 내부자 관리에서 비롯된다"며 "신한카드 사례 역시 가장 기본적인 내부자 접근 통제와 관리가 제대로 이뤄지지 않은 전형적인 경우"라고 지적했다.

홍 교수는 "기업들이 보안 솔루션 도입과 투자 규모 확대에는 적극적이지만 정작 관리적 보안 조치에는 형식적으로 접근하는 경향이 있다"며 "기술적 보호 조치를 갖췄더라도 내부자의 개인정보 접근 권한, 사용 목적, 반출 여부를 상시적으로 통제하지 않으면 사고는 반복될 수밖에 없다"고 말했다.

이어 "결국 보안은 돈을 얼마나 썼느냐의 문제가 아니라, 조직이 개인정보를 어떻게 통제하고 관리하느냐의 문제"라며 "기업들이 다시 기본으로 돌아가 내부자 리스크 관리 체계를 점검해야 할 시점"이라고 밝혔다.

보안업계 한 관계자도 "정보보호팀만 열심히 한다고 해결되는 문제가 아니다"라며 "개인정보를 다루는 모든 조직이 전사적으로 움직이는 관리 체계를 갖추지 않으면 누구 하나의 실수나 고의로도 대형 사고가 발생할 수 있다"고 전했다.

ISMS-P 전면 손질 나선 정부…사후 관리 강화

[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. dahora83@newsis.com

[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. [email protected]

ISMS-P 인증 기업에서 잇따라 개인정보 유출 사고가 발생하자 정부도 인증 제도 전면 개선에 나선 상황이다.

과학기술정보통신부와 개인정보보호위원회는 최근 관계부처 대책 회의를 열고 ISMS-P 인증 제도 개선 방안을 논의했다. 우선 기존 자율 인증이던 ISMS-P를 주요 공공시스템, 통신사, 대규모 온라인 플랫폼 등 국민 생활과 밀접한 개인정보 처리 시스템에 대해 의무화하는 방안을 추진한다.

또 통신사·대형 플랫폼 등 사회적 파급력이 큰 기업에는 강화된 인증 기준을 적용한다. 이를 위해 개인정보보호법과 정보통신망법 개정도 병행할 계획이다.

인증 심사 방식도 대폭 강화된다. 예비심사 단계에서 핵심 항목을 선검증하고 기술 심사와 현장 실증 심사를 확대한다. 분야별 인증위원회를 운영하고 심사원 대상 인공지능(AI) 등 신기술 교육으로 전문성을 높일 예정이다.

사후 관리도 강화된다. 인증 기업에서 개인정보 유출 사고가 발생하면 즉시 특별 사후 심사를 실시한다. 중대한 인증 기준 위반이 확인될 경우 인증을 취소할 수 있도록 했다. 사고 기업에 대해서는 사후 심사 인력과 기간을 기존보다 2배로 늘려 사고 원인과 재발 방지 대책을 집중 점검한다.

개인정보위는 이달부터 쿠팡 등 유출 사고가 발생한 인증 기업을 대상으로 현장 점검에도 착수했다. 과기정통부는 앞서 발표한 정보보호 종합대책 후속 조치로 통신·온라인쇼핑몰 등 약 900개 ISMS 인증 기업에 대해 긴급 보안 점검을 요청했으며 내년 초부터 현장 검증에 나설 예정이다.

◎공감언론 뉴시스 [email protected]