[2017국감]정보보호 인증 사후관리 부실…"해킹 당해도 유지"

김성태 의원 "ISMS·PIMS 심사항목 74% 중복, 통합 방안 마련해야"
박홍근 의원 "인증 받은 기업에서 해킹사고 발생해도 정보보호 인증 취소 안
돼"

사진제공=한국인터넷진흥원

[아시아경제 한진주 기자] 정보보호 관련 인증을 받은 기업들에게서도 유출사고가 발생하는 등 사후 관리가 제대로 이뤄지지 않는다는 지적이 나왔다.

17일 국회 과학기술정보방송통신위원회가 과학기술정보통신부 산하기관을 대상으로 실시한 국정감사에서 인터넷진흥원이 관리하는 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)의 심사 항목이 중복되고, 개인정보 침해사고가 발생해도 인증이 취소되지 않고 있다는 지적이 나왔다.

김성태 자유한국당 의원(송파 을)은 "매년 국감을 통해 개인정보 보호실태와 함께 사후관리에 대한 문제가 꾸준히 제기됐고 작년 3월에는 감사원도 개인정보인증체계인 ISMS, PIMS의 심사항목 중 74%가 유사한 항목이 있다고 통합 방안 마련을 촉구한 바 있는데 지금도 지지부진하다"고 말했다.

이어 "과기정통부와 방송통신위원회가 각자 업무의 고유성을 주장하지만 피해는 관련 기업이 보고 있다"며 "ISMS 인증을 위해 1500만원, PIMS 인증을 받으려면 2300만원이 소요되는데 70% 넘는 중복 항목이 인증받는 기업에게 부담을 주고, 인증심사 등에 혈세 낭비가 이어지고 있다"고 덧붙였다.

ISMS·PIMS 인증을 받은 기업에서 개인정보 유출 사고가 발생하더라도 인증이 취소되지 않고 있다는 지적도 나왔다.

박홍근 더불어민주당 의원은 "인터파크의 경우 ISMS와 PIMS를 모두 받았음에도 해킹 사고가 발생해 제도가 유명무실하다는 지적이 있다"며 "인증받으면 유출사고가 발생해도 취소되지 않고 아무런 제재 없이 다시 인증해주기도 하는데 보안사고가 반복되고 있으므로 인증 취소 등의 관리방안이 필요하다"고 덧붙였다.

이에 대해 박정호 KISA 부위원장은 "동일한 문제를 반복해 사고를 일으키거나 거짓된 내용을 보고하는 등 인증 취소에 대해 규정이 있다"며 "인증체계 규정 강화 방안에 대해 관계 부처와 논의하겠다"고 밝혔다.

방송통신위원회에 따르면 최근 5년간 116개에 달하는 기업에서 개인정보 유출사고가 발생했고, 여기서 5130만개의 개인정보가 유출됐다. 아예 유출 규모가 파악되지 않는 경우도 34건에 이르는 실정이다.

개인정보 관련 사고가 연이어 발생하고, 개인정보 관련 정책을 맡는 부처가 흩어져있는 상황을 개선할 필요가 있다는 지적도 나왔다.

김성태 의원은 "행정안전부·과기부·방통위·개인정보위원회로 쪼개져 주먹구구식 개인정보보호 운영의 문제 해결을 위해 정부 컨트롤 타워 도입이 시급하다"며 "컨트롤 타워가 없는 상황이 장기화되면 법률로 강제적 통합을 유도할 필요가 있다"고 주장했다.

이에 대해 김용수 과기정통부 2차관은 "개인정보 보호 관련 기능이 4군데(행자부, 과기정통부, 방통위, 인터넷진흥원)로 나눠져 있는 것은 사실이지만 진흥과 규제를 같이 할지에 대해서는 논의가 필요하다"고 답변했다.

한진주 기자 truepearl@asiae.co.kr