IT
쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마
사나이불패

Lv.1 사나이불패 (221.♡.7.94)

2025년 12월 2일 AM 01:22 · 수정됨(12. 03. 12:53)

조회 2,790 공감 0

https://v.daum.net/v/20251201223638519


쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마


롯데카드에 이어 쿠팡에서 초대형 개인정보 유출 사고가 발생하면서 정보보호·개인정보보호 관리체계(ISMS-P) 인증제 실효성 논란이 더욱 거세지고 있다. 롯데카드는 ISMS-P 인증을 획득한 지 이틀만에 침해사고를 겪었고, 쿠팡은 2021년 최초 인증 획득 후 갱신까지 마친 상태였다.


1일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료한 상태였으나, 최근 3천370만개의 개인정보가 유출되는 사고를 겪고 조사 중이다.


(...)


ISMS-P는 기업이 정보보호와 개인정보 보호를 위한 관리체계를 일정 수준 이상 갖추고 있음을 정부가 인증하는 제도다. 보안 정책 수립 여부, 기술적·관리적 통제, 보안 교육, 점검 체계 등을 평가한다.


그러나 롯데카드 사태 때부터 이번 쿠팡까지 ISMS-P 인증을 받은 기업들의 잇단 침해사고가 터져 나오면서 인증 자체의 실효성에 대한 실효성 논란이 불거지고 있다. 상시적인 검증 체계도 없고 형식적인 문서적 검사에 그치는 것이 아니냐는 지적이 나오는 것이다.


ISMS-P 인증을 주관하는 한국인터넷진흥원(KISA)의 원장을 지낸 이원태 국민대 특임교수는 "쿠팡은 정부가 인증하는 정보보호 관리체계(ISMS-P)를 취득하고 갱신까지 한 기업이었다""인증을 받고도 기본적인 퇴사자 권한 관리조차 작동하지 않았다는 사실은, 현재의 제도가 실질적 방어력보다는 문서와 절차를 맞추는 '보안 극장(Security Theater)'에 불과함을 여실히 보여준다"고 비판했다.



-----

댓글 (12)

  • 사장_대연동

    사장_대연동 Lv.1

    25.12.02 · 192.♡.73.83

    위 기사에서, 이원태라는 분은, 본인이 저 프로그램에 관여자일텐데, 제3자인 것처럼 비판하네요. 죄송하다고 해야 되는 거 아닌가요?
  • Sapphire

    Sapphire Lv.1 → 사장_대연동

    25.12.02 · 106.♡.196.228

    본인이 원장일때 만든 제도가 아니니 깔 수도 있겠죠.
    제도는 2018년에 만들어졌고, 이원태는 2021년부터 재임이라서요.
  • 사장_대연동

    사장_대연동 Lv.1 → Sapphire

    25.12.02 · 192.♡.73.83

    글쎄요. 본인이 재임할 때도 그 기관이 저 제도를 운영하고 있었던 거네요. 그럼 본인이 무관한 것처럼 비판하면 안되지요. 제도를 손볼 수 있는 위치에 있었으니까요.
  • Sapphire

    Sapphire Lv.1 → 사장_대연동

    25.12.02 · 106.♡.196.68

    근데 그게 제도로 저걸 계속 유지하게 할 수가 없습니다.
    실제로 KISA가 저 인증 받은 기업이 인증을 유지하게 감시하거나 하려면 조직 규모가 몇십배는 되야 될걸요.. 그냥 제도만 수정한다고 될게 아니라서요... 그나마 저 제도를 해서라도 경각심을 가지라는 그런 의미인지라..
  • 쟘스

    쟘스 Lv.1

    25.12.02 · 221.♡.194.163

    기업은 교육할게 아니라 강력하게 처벌해야 의무를 다합니다.
    의무를 다하지 않을 경우 더 큰 손해를 받도록 강제해야 제대로 해야 할 일을 하겠죠.
  • Sapphire

    Sapphire Lv.1 → 쟘스

    25.12.02 · 106.♡.196.68

    문제가 처벌근거랑 증거인데 그걸 외부에서 내부를 압수수색하든 조사하든 하더라도 알아낼 수 있는 것에 한계가 있다는 점입니다.
    그래서 유출 증거를 직접적으로 명확하게 집어내는건 불가능에 가깝죠.
    유출됐다는 말도 사실 쿠팡건처럼 대놓고 해커가 무언가를 요구하는 형태가 아니고선 증명할 수 없습니다. 인증 자체를 세분화하고 조직을 확장 시켜야 해결될거 같아요.
  • ㄱㅡ

    ㄱㅡ Lv.1

    25.12.02 · 112.♡.175.146

    매년 갱신을 하던 2년에 한번 갱신을 하던
    한 개 기업의 인증체계를 전수조사를 하려면 막대한 시간이 필요하죠
    그러다보니 제출한 문서에 포커스를 맞추는거고요
    인증 심사를 마쳐도 다음날 정책을 풀어버리면 인증 자체가 무력화 되죠
  • M

    maronet Lv.1

    25.12.02 · 1.♡.206.240

    최소한의 검증 제도를 만들어 놓고, 최대한의 면죄부를 주는게 문제라 생각합니다.
  • Sapphire

    Sapphire Lv.1 → maronet

    25.12.02 · 106.♡.196.68

    네 맞습니다.
    근데 현재 IT의 현실은 그 최소한의 검증조차도
    매번 항상 제대로 유지할 수 없지요...
  • M

    maronet Lv.1 → Sapphire

    25.12.03 · 1.♡.206.240

    IT 예산을 늘리는 것 보다 과징금 내는게 싸게 먹히는게 근본 원인이죠.
    과징금 매출규모 따라 쎈! 요율로해야한다 생각해요.

댓글을 작성하려면 이 필요합니다.