또 도마 오른 정부 보안인증... "문서만 인증 말고 실제 기술 평가를" 작성일 12-01 38 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">쿠팡, 2021·2024년 ISMS-P 인증기관<br>항목별 기준 채우면 되는 '문서상 인증'<br>사후심사도 그 시점의 운영 상태만 확인<br>인증 의존 말고 기업이 레드팀 구성해야</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Qf7xSIDgLa"> <figure class="figure_frm origin_fig" contents-hash="f59d5ed5339dda9d8ba3da39750bddc74d4f535fdccfdd7eb5475def7135122d" dmcf-pid="x4zMvCwaMg" dmcf-ptype="figure"> <p class="link_figure"><img alt="쿠팡에서 역대 최대 규모인 3,370만 개의 고객 계정 정보 유출 사고가 발생했다. 뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/01/hankooki/20251201163053912qhyh.jpg" data-org-width="640" dmcf-mid="PnqRThrNLN" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/01/hankooki/20251201163053912qhyh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 쿠팡에서 역대 최대 규모인 3,370만 개의 고객 계정 정보 유출 사고가 발생했다. 뉴스1 </figcaption> </figure> <p contents-hash="280e6251ccad950941b5b55cd46db6e01397296000a5465464064e828e07d3f9" dmcf-pid="yhEWPfB3eo" dmcf-ptype="general">SK텔레콤 유심 정보 유출과 KT 소액결제 사고에 이어 쿠팡에서도 3,370만 개 계정이 유출되는 초대형 보안 사고가 터졌다. 세 기업 모두 정부 심사를 거쳐 보안 인증을 받았지만, 해킹과 개인정보 유출을 피하지 못했다. 인증이 안전을 보장하지 못한다는 점이 확인되면서, 보안 체계를 최신 위협 기반 대응 체계로 구축해야 한다는 목소리가 커지고 있다.</p> <p contents-hash="adf337184b73ebf230e09e3797aefd8ae4cb653e1d3767406f50f242acc27ec9" dmcf-pid="WlDYQ4b0nL" dmcf-ptype="general">쿠팡은 2021년과 지난해 두 차례 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았다. ISMS-P는 기업이 정보보호를 체계적으로 관리하고 있는지 평가하는 제도다. 기본적으로 자율 신청에 따라 인증이 이뤄지지만, 전년도 △매출액이 100억 원 이상이거나 △일일 평균 이용자 수가 100만 명 이상인 정보통신 기업은 의무적으로 인증을 받아야 한다. 최초 심사를 거쳐 인증을 받으면 3년간 유효하며, 그 기간 동안 매년 1회 이상 사후심사를 받는다.</p> <p contents-hash="6057f8bd608e088a12afc8a96a87e9580e412f1171f1529eb4314eb3ed0528ce" dmcf-pid="YSwGx8Kpin" dmcf-ptype="general">문제는 인증 과정이 문서 중심으로 이뤄져 실제 기술 운영 역량을 검증하는 데 한계가 있다는 것이다. 기업은 심사 전 자체 평가 보고서를 만들고 항목별 증빙을 준비하는데, 이때 각 항목별 기준만 맞추는 '형식적 준비'만 이뤄질 가능성이 높다고 전문가들은 지적했다. 그러니 심사를 통과해도 전체 보안 프로세스가 제대로 작동하는지는 전혀 다른 문제가 된다는 것이다.</p> <p contents-hash="85274c86c7ff63a311200b31ff0a1bf3ae4f5f866f1a5e4ae53141fee6c5de8f" dmcf-pid="GIcT82ztii" dmcf-ptype="general">이후 보안 역량이 계속 유지되는지 검증하기도 어렵다. 매년 사후심사를 받는다 하더라도 그 시점의 문서와 운영 상태만 다시 확인하는 데 그치는데, 공격 기법은 하루가 다르게 정교해지고 있기 때문이다. 박기웅 세종대 정보보호학과 교수는 "예를 들어 실제 공격 시나리오를 바탕으로 대응 역량을 점검할 필요가 있는데, 현 인증 제도엔 이런 위협 기반 평가 요소가 부족하다"고 짚었다.</p> <p contents-hash="d5b7210c082db7f1bc42000d088781683bc3dc4d67fbbf794eb26345a41e59c0" dmcf-pid="HCky6VqFRJ" dmcf-ptype="general">정부 역시 이 같은 문제를 인지하고 적극 개선하겠다는 입장이다. 배경훈 부총리 겸 과학기술정보통신부 장관은 올해 10월 '범부처 정보보호 종합대책'을 발표하면서 "현장 점검, 실효성, 사후관리 측면에서 인증 제도를 좀 더 고도화하고 상시 점검 체계로 만들겠다"고 약속했다. 이에 따라 과기정통부는 모의 해킹 훈련이나 화이트해커를 활용한 보안 체계 구축을 추진하고 있다.</p> <p contents-hash="477d67fd43f9abc12389c8cc09246c6ba3d5b1312f799bfd0333ca4aa0cc52e2" dmcf-pid="XhEWPfB3Md" dmcf-ptype="general">다만 ISMS-P는 '최소 기준'이라 그 자체만으로 완전한 보안을 담보할 수는 없다. 위협 요인을 반영한 기업의 지속적 감시가 병행돼야 하는 이유다. 박 교수는 "기업 내부에 상시 공격자 역할을 하는 '레드팀'을 두고 인증 기준이 놓치는 부분을 감지해야 한다"고 제언했다. 또 곽진 아주대 사이버보안학과 교수는 "보안은 24시간, 365일 돌아가야 하기 때문에 평가 항목 외에 조직에 필요한 부분은 자체적으로 꾸준히 보완해가야 한다"고 강조했다.</p> <p contents-hash="c9895282d87fc9a6be6885a46d49c046265e3dfea827be6ae242557d77a9d28b" dmcf-pid="ZlDYQ4b0ie" dmcf-ptype="general">김태연 기자 tykim@hankookilbo.com</p> </section> </div> <p class="" data-translation="true">Copyright © 한국일보. 무단전재 및 재배포 금지.</p> 관련자료 이전 “삼성도 못 잡은 주름 잡았다”…애플 ‘아이폰 폴드’ 양산 임박 12-01 다음 [AI혁명](177)컨포트랩 "올인원 제조업 AX 솔루션 '포타'…K-팔란티어 될 것" 12-01 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
