국회입법조사처는 SK커뮤니케이션즈가 정보통신망법 제47조에서 규정하고 있는 정보보호관리체계(ISMS) 인증을 받지 않은 상태에서 사고가 일어난 것이라고 9일 지적했다. 또한 개인정보보호관리체계(PIMS) 인증도 올초 신청해 3분기 심사를 받을 예정인 것으로 드러났다며 SK컴즈가 공식적인 정보관리체계 인증을 받은 적 없이 포털사이트를 오랜기간 운영해왔다고 밝혔다.
국회입법조사처 이슈와 논점 ‘네이트 해킹사고와 포털의 개인정보보호’에서 “SK커뮤니케이션즈는 ISMS 인증을 받지 않은 상태”라며 “이런 인증이 의무는 아니지만 다음커뮤니케이션즈, NHN 등 다른 대형포털사들이 이미 ISMS 인증을 받았다는 사실을 감안하면 다소 문제의 소지가 있다”고 말했다.
이처럼 SK컴즈가 오랜기간 포털사이트를 운영해오며 어떤 공식적인 정보관리체계 인증을 받지 못한 것으로 미루어볼 때 이번 사건은 문제가 어디있는지를 가늠케 해주는 사건이라고 국회입법조사처 측은 꼬집었다.
나아가 국회입법조사처는 “주요 해외국가들에 비해 국내 포털사이트의 개인정보 유출 위험이 더 크다”며 “바로 인터넷 실명제 의무화 조항 때문”이라고 지적했다.
인터넷실명제는 주민등록번호의 수집을 부추기는 요인으로 작용하고 있으며 이번 대형 포털사이트의 개인정보해킹 사고는 실명제에 의한 개인정보 수집 및 보관의 보안 취약성을 여실히 보여주는 사례라는 설명이다.
이어 이 보고서는 SNS, 클라우드 서비스 등의 발달로 개인정보가 유출될 가능성이 더 커지기 때문에 주민등록번호 및 식별번호 자체의 수집을 가급적 자제하는 방향으로 법과 제도의 개선이 이뤄져야 한다고 지적했다.
이에 대해 SK컴즈 측은 “2009년 1월, 정보보호관리체계 국제표준인증인 ISO27001을 획득했다”며 “국회입법조사처 밝힌 인증은 아니지만 보안관련해 국제적으로 신뢰할 수 있는 인증을 운용하고 있다”고 밝혔다.
장윤정기자 linda@etnews.com
