쿠팡 개인정보 유출에도 ISMS-P 심사 “문제없음”…샘플링 방식 한계 드러나
쿠팡 고객의 개인정보가 줄줄이 새나가고 있던 시점이지만, 이번에 문제가 된 인증 암호키 등 항목에서도 결함을 발견하지 못했다.
윤만형 2025-12-04 09:35:52
▲ 사진=KBS뉴스영상캡쳐
쿠팡은 지난 10월 개인정보보호 인증인 'ISMS-P' 유지를 위한 사후 심사를 받았다. 이 시점은 지난 6월부터 시작된 쿠팡 고객 정보 유출이 계속되고 있던 때다.
심사는 한국인터넷진흥원(KISA) 산하기관인 한국정보통신진흥협회가 담당했다. 5명의 심사관이 5일 동안 현장 조사를 벌였다.
당시 일부 결함이 발견돼 보완 조치도 요구됐지만, 이번 개인정보 유출의 원인으로 지목된 인증 토큰과 서명키 등과 관련된 항목은 포함되지 않았다. ISMS-P 인증 기준에는 암호키의 안전한 관리와 사용자 계정의 ‘비인가 접근 통제’ 등 이번 사태와 관련된 항목들이 구체적으로 명시돼 있다.
그럼에도 3,370만 명의 정보가 유출되는 상황에서도 현장 심사 결과 해당 항목들은 ‘문제없음’으로 판정됐다.
ISMS-P 심사는 ‘샘플링 방식’으로 진행된다. 개인정보에 접근할 수 있는 주요 직무자 가운데 20~30% 업무만 확인하는 방식으로, 실효성이 떨어진다는 지적이 나온다.
결국 이번 사례를 통해 정부의 보안 인증 심사와 쿠팡의 자체 보안 시스템 모두 제대로 작동하지 않았다는 평가가 나오고 있다.
주소를 선택 후 복사하여 사용하세요.
