ISMS 인증 소용없나…'언더아머'도 개인정보 유출

이메일주소 54만개 등 유출 신고
"결제카드·비밀번호는 노출 안돼"
인증취소 대상에 적용될 가능성

미국 스포츠웨어 기업 언더아머에서 고객 개인정보 유출 사고가 발생했다. 언더아머 등 정보보호 관리체계 인증(ISMS)을 받은 기업과 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받은 기업에서 개인정보 유출 사고가 잇따르면서 인증 제도의 실효성 논란이 불거지고 있다. 정부는 ISMS·ISMS-P 인증 취소 기준을 마련하고 있어 언더아머도 적용 대상이 될 수 있다는 관측이 나온다.

11일 언더아머가 최근 한국인터넷진흥원(KISA)에 제출한 신고서에 따르면 언더아머 한국 정보 주체의 이메일 주소 54만 1773개와 이름 36개, 성별 정보 36개가 노출 된 것으로 알려졌다.

현재까지 파악된 정보에 따르면 고객 이메일 주소와 일부 고객의 이름, 성별 정보 등이 유출된 것으로 보인다. 다만 언더아머는 "모든 고객 정보가 노출된 것은 아니며 금융 결제 카드 정보와 비밀번호는 유출되지 않았다"며 "이번 사고로 인해 고객 계정 도용이나 사기 등 직접적인 피해 정황은 확인되지 않았다"고 설명했다.

그러면서 "사고 이후 보안 체계를 강화하는 조치를 취했으며 관련 법적 의무에 따라 개인정보 보호 감독기관에도 보고 절차를 진행하고 있다"며 "고객들에게 개인정보 제공을 요구하거나 링크 클릭 또는 첨부파일 열람을 유도하는 연락에 유의해 달라"고 안내했다.

언더아머는 지난 8일부터 오는 2029년 3월 7일까지 유효한 ISMS 인증을 보유 중이다. 하지만 이번 사고로 정부가 사후 검증을 벌여 인증 취소 등 후속 조치를 할 가능성도 제기된다.

지난해 12월 과학기술정보통신부와 개인정보보호위원회는 인증 취소 기준 방안을 발표했으며 현재 세부 계획을 수립 중이다. 우선 정부는 인증 획득 기업에 대해 연 1회 실시하는 사후심사에서 외부 인터넷 접점 자산 식별, 접근 권한 관리, 보안 패치 관리 등 실제 사고와 밀접한 항목을 집중 점검하기로 했다. 사후심사 과정에서 중대한 결함이 발견되거나 점검 거부, 자료 미제출, 허위 제출 등이 확인될 경우 인증위원회 심의를 거쳐 인증을 취소한다. 또 개인정보보호법 위반으로 과징금 등 처분을 받은 기업도 중대성에 따라 인증을 취소한다. 피해 규모가 1000만명 이상이거나 반복 위반, 고의·중과실로 사회적 영향이 큰 경우에도 인증을 취소한다는 방침이다.

다만 인증 취소 후 1년간 재신청 유예기간을 둬 보안 개선이 이뤄지도록 유도한다. 해당 기간에는 인증 의무 미이행에 따른 과태료를 면제한다. 과기정통부와 개보위에 따르면 현재 제도 개선 관련 최종 계획을 수립 중이며, 계획이 확정된 후 기업들의 취소 여부와 조치 등을 검토할 예정이다.

kaya@fnnews.com 최혜림 기자