방송통신위원회·한국인터넷진흥원(KISA)이 주관하는 개인정보보호관리체계(PIMS) 인증이 업체들 보안 사고에 면죄부만 준다는 우려가 커졌다. PIMS 인증 업체에 개인정보 유출 사고가 발생하면 과태료·과징금 경감 혜택을 받게 되기 때문이다. 특히 PIMS 인증 1호인 NHN이 지난주 개인정보 유출 사고에 휘말린 것을 계기로, 이 같은 목소리는 더욱 높아졌다.
1일 업계에 따르면 최근 벌어진 포털 개인정보 유출 사건에 NHN도 관련된 것으로 알려지면서 PIMS 인증이 자칫 인터넷 업체들 보안사고에 면죄부만 준다는 지적이 제기됐다.
PIMS는 개인정보 유출 방지를 위한 요건을 갖춘 업체에 부여하는 자율 인증이다. 방송통신위원회는 PIMS 인증 업체가 개인정보 유출 사고를 당할 경우, 50% 이내에서 과징금·과태료를 경감시켜준다. SK텔레콤·NHN·G마켓·롯데홈쇼핑 등 개인정보를 취급하는 여러 업체들이 인증을 신청했다.
지난 2008년 1000만명에 가까운 개인정보 유출 홍역을 치른 옥션도 PIMS 인증을 위한 절차에 돌입했다. KISA는 지난달 인증 신청 업체 중 SK텔레콤과 NHN 및 관계사 등 6곳에 최초 인증을 부여했다. G마켓·옥션은 1차 심사 요건에 미비돼 서류가 반려된 상태로, PIMS 인증에 재도전하기로 했다.
보안 전문가들은 개인정보 해킹 사고가 언제 어떻게 일어날지 모른다는 점에서 규격화된 요건으로 인증을 주는 것 자체가 이해하기 어렵다고 입을 모은다. 특히 NHN은 PIMS 인증을 통과한 지 채 한 달이 안 돼 개인정보 유출 사고에 휘말렸다. 경기지방경찰청은 지난달 27일 중국 해커로부터 네이버·다음·네이트·파란 등 국내 대형 포털 가입자의 개인정보 17만건을 산 뒤, 영업에 이용한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반)로 김 모씨(29) 등 3명을 불구속 입건했다.
NHN 측은 해킹당한 사실이 없다고 주장하고 있지만, 현재 피의자들이 언제 어떤 경로로 개인정보를 습득하게 됐는지는 정확히 밝혀지지 않고 있다.
보안업계 관계자는 “보안사고는 아무리 주의해도 한순간 방심하면 터지게 돼 있다”며 “무조건 과징금·과태료를 경감해주는 것은 업체들 보안의식을 해이하게 할 수 있다”고 지적했다.
이에 대해 KISA 측은 “인증을 통해 업체들이 자발적으로 보안 체계를 갖추도록 하는 게 PIMS 취지”라며 “과징금·과태료 경감은 방통위가 사고 경위를 조사해 피해 업체의 과실 정도를 따져 차등 적용하는 것으로 안다”고 밝혔다.
안석현기자 ahngija@etnews.co.kr
