착시현상 방치한 'ISMS-P 누리집'

[파이낸셜뉴스] 1종 운전면허를 가진 사람은 대형 버스·승용차 모두 운전할 수 있지만, 2종 면허 소지자는 대형 버스를 몰 수 없다. 그런데 만약 모두 '1종' 면허를 얻은 것처럼 면허증이 구성돼 있다면 어떨까.

지난 11일 미국 스포츠웨어 기업 언더아머는 일부 고객 개인정보 유출 사고가 발생했다고 밝혔다. 기자는 언더아머의 보안 인증 현황을 확인하기 위해 한국인터넷진흥원(KISA)이 관리하는 'ISMS-P 인증 누리집'을 살펴보던 중 착시현상을 마주했다.

언더아머는 정보보호 관리체계 인증(ISMS)을 받은 기업인데, 누리집 화면엔 마치 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 기업처럼 보였다. ISMS-P는 ISMS 충족 기준을 넘어 개인정보보호 관련 21개 기준이 더 필요한 인증으로 ISMS와는 차원이 다르다.

하지만 'ISMS-P 누리집'에 ISMS 인증 기업과 ISMS-P 인증 기업이 혼재돼 있었다. ISMS 기업과 ISMS-P 기업을 구분하는 유일한 방법은 인증번호뿐이다. 기자가 누리집 화면을 그대로 캡처해 기사에 게재하자 개보위는 "언더아머가 ISMS-P 인증을 받은 것처럼 오해될 소지가 있다"며 난색을 표했다. 정부 화면 자체에 혼동 여지가 있음을 밝힌 셈이다.

ISMS는 과기정통부 소관, ISMS-P는 개보위 소관이지만 인증현황을 공개하는 'ISMS-P' 누리집은 과기정통부 산하인 KISA가 운영 중이다. KISA가 사이트를 이원화하지 않는 데에는 운영 비용, 홈페이지 관리 효율성 등 애로사항이 작용했을 것이다. 삼성전자처럼 홈페이지 서비스는 ISMS 인증을, 삼성월렛 서비스는 ISMS-P 인증을 받는 등 한 기업이 여러 인증을 보유한 사례도 있어 모아서 관리하려는 취지도 이해할 수 있다.

다만 인증 유형을 명확히 구분하는 장치는 필요하다. 가령 누리집 명칭을 'ISMS·ISMS-P 인증 누리집'으로 바꾸고, ISMS 인증만 받은 기업의 카테고리는 따로 만드는 것이다.

개보위의 대응 방식에도 아쉬움이 남는다. ISMS-P 인증 소관 부처인 만큼, 언론에 오인 가능성을 우려하기에 앞서 KISA와 함께 누리집 혼선을 줄이는 방법을 논의하는 것이 먼저다. 정부 누리집은 국민 누구나 혼동 가능성 없이 쉽게 이해할 수 있도록 만들어져야 한다.

ISMS·ISMS-P 인증 제도 개선 방안에 대한 최종 계획도 시급하다. 과기정통부와 개보위는 지난해 12월 인증 취소와 심사 강화 방안 등을 마련하기 위해 합동 태스크포스(TF)를 가동하겠다고 밝힌 바 있다. 이달 내로 최대한 빠르게 확정안을 발표하겠다는 입장이지만, 3개월이 지나는 사이 인증 기업의 유출 사고는 계속 터지고 있다.

kaya@fnnews.com 최혜림 기자