"3370만명 개인정보 유출·사고만 벌써 4번째"…쿠팡, ISMS-P 첫 퇴출 사례 되나

등록 2025.12.30 06:00:00수정 2025.12.30 06:46:24

정부, ISMS·ISMS-P 인증 취소 기준 구체화

대규모·반복 유출은 '원칙적 퇴출'…쿠팡, 기준 충족

정부 판단에 따라 첫 ISMS-P 취소 사례 나올지 주목

[서울=뉴시스] 김선웅 기자 = 김범석 쿠팡 Inc 의장이 오는 30일부터 이틀 간 진행되는 국회의 쿠팡 연석 청문회에 재차 불출석 의사를 밝히면서 책임 회피 논란이 거세지고 있다. 또한 쿠팡은 29일 대규모 개인정보 유출에 대한 보상안을 발표했다.

발표된 보상안에 따르면 인당 5만원씩, 피해고객 3370만 명에게 총 1조6850억원을 지급한다. 다만 이는 실제 화폐 5만원이 아닌 쿠팡 서비스별 구매 이용권으로 실질적인 보상이 아닌 '판촉 행사를 통한 소비자 기만'이라는 비판이 나오고 있다. 사진은 29일 서울 송파구 쿠팡 본사 건물 앞에 걸린 쿠팡 규탄 현수막. 2025.12.29. [email protected]

[서울=뉴시스]윤정민 기자 = 정부가 정보보호·개인정보보호 관리 인증을 받은 기업·기관 중에서 1000만명 이상의 개인정보 유출 피해를 발생할 경우 해당 인증을 취소하기로 했다. 피해 규모는 크지 않더라도 개인정보 유출 사고를 반복적으로 일으키거나 사회적 영향이 큰 경우에도 인증을 취소할 수 있다.

3370만여명의 개인정보 유출 사고를 일으킨 이번 쿠팡 사고는 정부가 발표한 인증 취소 기준에 해당한다. 앞서 정부가 쿠팡의 인증 취소 여부를 검토하겠다고 밝힌 만큼 인증 박탈 첫 사례가 될지 주목된다.

과학기술정보통신부와 개인정보보호위원회는 29일 정보보호·개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 기준 구체화 방안을 확정했다.

정보보호·개인정보보호 관리체계 인증 등에 관한 고시에 따르면 개인정보보호 관련 법령을 위반하고 그 위반 사유가 중대한 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있다.

하지만 중대한 위반의 판단 기준이나 적용 범위가 명확하지 않아 실제 인증 취소로 이어진 사례는 없었다. 대규모 유출 사고가 발생해도 인증이 유지되는 경우가 반복되며 제도의 실효성 논란이 제기돼 왔다.

'무늬만 인증' 논란에 정부, ISMS-P 손질 시작

[서울=뉴시스] ISMS-P (사진=한국인터넷진흥원 제공)

지적이 이어지자 과기정통부와 개인정보위는 한국인터넷진흥원(KISA), 금융보안원 등 인증기관과 논의해 인증 취소 기준을 구체화했다.

1000만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우 원칙적으로 인증을 취소한다는 게 핵심 내용이다.

사후관리를 이행하지 않는 행위, 자료를 제출하지 않거나 거짓된 자료를 제출한 사실이 확인돼도 인증을 취소한다. 점검 결과 중대 결함이 발견된 경우 인증위원회 심의를 거쳐 인증을 취소한다.

이번 쿠팡 사고는 정부가 공개한 취소 기준에 해당한다. 3370만여명의 개인정보를 유출한 대규모 사고로 접근 권한 통제와 같은 기본적인 보안 관리 원칙이 제대로 작동하지 않은 것으로 확인됐다.

또 쿠팡은 ISMS-P 인증 후 최근 5년간 총 4차례의 개인정보 유출 사고를 냈다. 지난해 ISMS-P 인증을 갱신했는데도 사고가 발생했다.

조사 결과 따라 인증 취소 여부 가려질 듯

[서울=뉴시스] 권창회 기자 = 25일 서울 시내 한 쿠팡 센터 모습.대통령실이 쿠팡의 대규모 개인정보 유출 사태와 관련해 범정부 관계장관 회의를 소집해 경영진 처벌 방안과 소비자 피해 구제책 등을 논의한다. 쿠팡 경영진이 사태 수습에 상당 기간 비협조적 태도를 보이고 있는 데다, 최근 쿠팡 사태가 한·미 간 무역 협상에 부정적 변수가 될 조짐이 나타나자 대통령실이 특단의 대책 마련에 나선 것으로 풀이된다. 2025.12.25. [email protected]

사고 조사 결과는 내년 초에 나올 전망이다. 조사 최종 결과에 따라 과징금 부과 여부는 물론 ISMS-P 인증 유지 또는 취소 여부가 함께 결정될 전망이다.

정부가 안내한 이번 인증 취소 기준은 가이드라인과 같은 성격이라 법 또는 고시 개정 없이 즉각 적용할 수 있다. 이미 개인정보 유출 사고가 발생했지만 처분이 확정되지 않은 조사 진행 사안인 만큼 인증위원회가 판단하는 과정에서 해당 기준을 적용할 수 있다.

개인정보위 관계자는 "(이번 방안은) ISMS 인증위원회 위원이 인증 취소 기준을 판단할 때 참고하도록 만든 것"이라며 "(해당 기준을 쿠팡 사고에도 적용하는 건) 인증위원회가 판단할 사안"이라고 말했다.

인증위원회 운영은 KISA가 주관한다. 이상중 KISA 원장은 지난 3일 국회 정무위원회 쿠팡 침해사고 관련 현안 질의에서 쿠팡의 ISMS-P 인증 취소 여부를 검토하겠다고 밝혔다.

한편 쿠팡은 유출 사고와 관련해 자체 조사 결과·일부 조치 사항을 발표했다. 이에 대해 정부는 민관합동조사단과 협의되지 않은 발표라며 문제를 제기했다. 조사 과정에서 자료 제출의 적정성 여부도 점검하고 있다.

업계 일각에서는 쿠팡이 정부 조사 결과가 나오기 전에 자체 조사 결과를 일방적으로 공개한 점 역시 향후 과징금 부과나 ISMS-P 인증 취소 판단에 불리하게 작용할 수 있다는 관측이 나온다.

인증 취소 기준에 포함된 사후관리 이행 여부와 자료 제출의 충실성을 놓고 조사 과정에서의 대응 태도 역시 인증위원회 심사에서 간접적으로 참작될 수 있다는 해석이 제기된다.

◎공감언론 뉴시스 [email protected]