[기사 수정 : 9일 오후 11시 10분]873만 고객 개인 정보를 해킹당한 KT가 사고 직후 '개인정보 관리를 잘 하는 기업'으로 인증받은 사실이 뒤늦게 드러났다.
방송통신위원회와 한국인터넷진흥원(KISA)에 따르면 KT는 개인 정보 유출 사고 직후인 지난달 18일 KISA에서 '개인정보보호 관리체계(PIMS)' 인증을 받았다. PIMS 인증은 개인정보보호조치 체계를 일정 수준 이상 구축한 기업에 부여하는 것으로 KT는 지난해부터 인증 작업을 진행해 왔다.
보안 인증 받은 날 해킹 신고, 단순한 우연의 일치?
공교롭게 KT는 지난달 13일 해킹 사실을 처음 인지하고 경찰에는 바로 신고했지만 방통위와 KISA에는 5일이 지난달 18일에야 이 사실을 알렸다. 사고 신고가 하루 정도만 빨랐어도 PIMS 인증 자체가 무산될 수도 있는 상황이었다. KT가 고의로 신고 시점을 늦춘 게 아니냐는 의혹을 살 만한 대목이다. 그나마 경찰 발표로 KT 개인정보유출 사실이 언론과 일반에 알려진 건 그로부터 열흘이 지난 7월 말이었다.
방통위와 KISA에서도 PIMS 인증 직후 KT 해킹 사고 사실을 접하고 크게 당황한 것으로 알려졌다. 이 때문에 KT는 물론 방통위, KISA 모두 PIMS 인증 사실을 쉬쉬하는 촌극이 벌어졌다. 9일 현재 KISA 홈페이지에는 SK텔레콤, LG유플러스, NHN, 이베이, 엔씨소프트 등 16개 PIMS 인증기업 명단이 올라와 있지만 KT는 빠져있다.
KT에선 단순한 우연의 일치라고 주장한다. KT 홍보팀 관계자는 "경찰에는 해킹 사실만 신고해도 되지만 KISA에는 개인정보 유출 규모와 항목을 자세히 파악해서 신고해야 하기 때문에 시간이 필요했다"면서 "5일 안에 신고하도록 한 규정은 충족했다"고 밝혔다. 하지만 SK컴즈의 경우 지난해 7월 네이트-싸이월드 3500만 고객 정보 해킹 사고 직후 경찰뿐 아니라 방통위와 KISA 등에도 바로 알렸다.
방통위 관계자는 "PIMS 인증은 KISA에서 민간 자율로 이뤄지기 때문에 방통위가 관여하지 않는다"면서도 "개인정보유출 사고는 PIMS 인증에 중요한 영향을 미칠 수 있는 요소이기 때문에 인증 과정에 문제가 없었는지 조사할 계획"이라고 밝혔다.
KT "3월에 보안조치 통보 끝나"... KISA "7월에 재심사"
대규모 개인정보유출 사고가 발생한 기업에 PIMS 인증을 해주는 것은 사실상 불가능하다는 점을 고려하면 방통위와 KISA가 KT '늑장 신고'에 속수무책 당한 셈이다. 그렇다고 하더라도 왜 하필 이 시점에 PIMS 인증이 이뤄졌는지도 의문으로 남는다.
PIMS 인증을 받으려면 보통 6~7개월 정도 걸린다. KISA에서 개인정보보호정책, 침해사고 처리 및 대응 절차, 기술적 보호조치, 개인정보 관리 등 325개 항목을 심사한 뒤 미비한 점을 지적하면 해당 기업이 추후 이를 보완해 '보안조치 통보'를 해야 인증위원회 최종 심의를 거칠 수 있기 때문이다. 하지만 지난 7월 18일 인증 결과가 나온 배경에 대한 KISA와 KT 쪽 얘기는 엇갈린다.
KT 홍보팀 관계자는 "PIMS 인증 작업은 지난해부터 진행해 왔는데 공교롭게 그 시점에 인증을 받은 것뿐"이라면서 "우리가 KISA 심사를 받고 보안 조치를 통보한 건 지난 3월"이라고 밝혔다.
이에 PIMS 인증 업무를 맡고 있는 장상수 KISA 보안관리팀장은 9일 <오마이뉴스>와 한 전화 통화에서 "지난해 11월 심사를 마친 뒤 3월에 KT에게 보안조치 통보를 받은 건 맞다"면서도 "지난 3월 28일 열린 인증위원회에서 추가 보안조치가 필요해 조건부 인증을 했고 지난 7월 10일경 개선 사항을 확인해 인증위원회가 다시 열려 18일에 최종 인증한 것"이라고 밝혔다.
장 팀장은 "최종 인증 과정에서 KT 해킹 사고는 알지 못했다"면서 "KT 인증 과정을 재검토해 문제가 확인되면 인증 취소도 가능하다"고 밝혔다.
개인정보 유출 기업에 '면죄부'... 최민희 의원 "면책 조항 없애겠다"방통위는 지난 2010년 말 개인정보 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화할 목적으로 PIMS 인증 제도를 처음 도입했다. 심사는 인증기관인 KISA에서 담당하지만 방통위가 이를 관리 감독하고 인증 기업에 개인정보 유출 사고가 발생하면 과징금 50% 감면 혜택까지 주고 있다.
이처럼 기업들 '면죄부'로 활용돼 온 정보보호 인증제도 개선을 요구하는 목소리도 커지고 있다. 최근 '개인정보유출 보상법' 발의를 추진하고 있는 최민희 민주통합당 의원은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 바꿔 기업이 '개인정보보호에 대한 적절한 조치'를 취하면 과징금 등을 면책 받도록 한 단서 조항을 없애기로 했다.
정보 유출 피해자가 1천만 원 이하의 손해 배상을 기업에 청구할 수 있는 규정을 신설하는 한편 손해배상을 청구할 때 기업이 고의나 과실이 없음을 입증할 경우 면책된다는 단서 조항도 없애기로 했다.
다만 장상수 KISA 팀장은 "KT의 경우 유출 사고가 PIMS 인증 시점 이전에 발생한 것이어서 과징금 감면 혜택은 적용되지 않는다"면서 "감면 혜택 자체도 인증제도 활성화 차원이지 사고 낸 업체에 면죄부를 주려는 건 아니다"라고 밝혔다.