심사는 한국인터넷진흥원(KISA) 산하기관인 한국정보통신진흥협회가 담당했다. 5명의 심사관이 5일 동안 현장 조사를 벌였다.

당시 일부 결함이 발견돼 보완 조치도 요구됐지만, 이번 개인정보 유출의 원인으로 지목된 인증 토큰과 서명키 등과 관련된 항목은 포함되지 않았다. ISMS-P 인증 기준에는 암호키의 안전한 관리와 사용자 계정의 ‘비인가 접근 통제’ 등 이번 사태와 관련된 항목들이 구체적으로 명시돼 있다.

그럼에도 3,370만 명의 정보가 유출되는 상황에서도 현장 심사 결과 해당 항목들은 ‘문제없음’으로 판정됐다.

ISMS-P 심사는 ‘샘플링 방식’으로 진행된다. 개인정보에 접근할 수 있는 주요 직무자 가운데 20~30% 업무만 확인하는 방식으로, 실효성이 떨어진다는 지적이 나온다.

결국 이번 사례를 통해 정부의 보안 인증 심사와 쿠팡의 자체 보안 시스템 모두 제대로 작동하지 않았다는 평가가 나오고 있다.