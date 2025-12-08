과징금 감경 사유 되는'ISMS-P 인증'

263개 인증 기업…그중 10% 유출

정부, 쿠팡 인증 적합성 점검 나서

정부가 고객 3370만명의 개인정보가 유출된 쿠팡에 개인정보 보호 관리체계 인증인 ISMS-P를 취소할지 여부에 이목이 쏠리고 있다. 그동안 ISMS-P 인증을 받은 263개 기업 가운데 인증이 취소된 사례는 단 한 곳도 없다.

하지만 역대급 개인정보 유출로 정부가 지난해 쿠팡이 인증받을 당시 제출한 관리 체계와 실제 운영 상황이 기준에 맞는지 면밀히 들여다보기로 하면서 쿠팡이 '인증 취소 1호' 기업이 될 가능성도 배제할 수 없다는 관측이 나온다.

8일 개인정보보호위원회와 한국인터넷진흥원에 따르면 ISMS-P 인증서 발급건수는 2019년 69건으로 시작해 2021년 161건, 2023년 278건, 지난해 230건, 올해 248건으로 증가 추세를 보이고 있다.

현재 인증 기업 누적 수로 따지면 총 263곳인데 그중 10%에 달하는 27곳에서 크고 작은 유출 사고가 발생했다. 하지만 지금껏 인증 취소된 기업은 전무해 인증 제도가 형식적으로 운영되고 있다는 비판이 나온다. 개인정보보호법에 따르면 개인정보위는 인증을 받은 기업이 인증 기준에 미달하게 되거나 법령을 위반하고 그 위반 사유가 중대한 경우 인증을 취소할 수 있다.

개인정보위 관계자는 "인증 취소는 인증위원회의 심의·의결을 통해 중대한 결함이 확인된 경우 할 수 있다"면서 "다만 현재 ISMS-P 인증은 자율적으로 운영되고 있어 인증을 취소한다고 해서 재인증 절차를 밟게 하는 등 마땅한 대안이 있는 것은 아니다"라고 덧붙였다.

문제는 개인정보보호법을 위반한 기업이 ISMS-P 인증을 유지할 경우 추후 과징금과 과태료를 부과받을 때 감경 사유가 된다는 점이다. 개인정보 보호를 위해 노력했다는 이유로 과징금의 경우 1차 조정금액의 50% 이하 범위로, 과태료는 기준금액의 40% 이내로 감경된다.

개인정보보호법을 위반한 SK텔레콤은 T월드, T멤버십 등 고객 서비스 분야에 한정해 인증을 받아 감경되지 않았지만, 쿠팡의 경우 지난해 3월부터 총 3년간 유효한 인증 범위가 '쿠팡 서비스' 전반으로 돼 있어 인증을 유지할 경우 감경될 여지가 높다. 현재 인증기관인 한국인터넷진흥원 주관으로 쿠팡의 인증기준 적합성 등에 대해 점검에 나섰다.

개인정보위 관계자는 "중대한 법규 위반이나 개인정보 관리 체계를 운영하면서 인증 기준에 중대하게 미달한 경우들에 있어서는 인증 취소할 수 있도록 돼 있다"며 "사후 심사 과정에서 중대 결함이 발생했을 경우에는 인증 취소를 적극적으로 검토하려 한다"고 말했다.





