ISMS 인증받은 곳 1개뿐… 정부 의무대상 확대 검토

고객 개인정보 관리에 허술함을 드러낸 카드사들이 보안 강화를 사전에 인증하는 ‘정보보호 관리체계’(ISMS)를 외면해 온 것으로 드러났다. ISMS는 한국인터넷진흥원(KISA)이 일정 기준 이상의 보호체계를 갖춘 정보통신망 사업자들을 인증해 주는 제도다.

26일 미래창조과학부와 KISA에 따르면 최근 정보 유출 사고를 일으킨 KB국민카드, 롯데카드, NH농협카드는 ISMS 인증을 받지 않았다. 카드사 가운데 ISMS 인증을 받은 곳은 BC카드 단 한 곳이다.

ISMS 인증을 받기 위해 통과해야 하는 104개 기준 가운데는 외부인이 주요 전산망에 접근해 저장장치에 정보를 담아 빼 가는 수법을 방지하는 항목도 포함돼 있어 문제를 일으킨 카드 3사가 사전에 인증을 받았더라면 대규모 정보 유출을 방지했을 것이라는 지적도 나온다. 104개 기준에는 외부 직원의 출입·보유장비·업무망 접속 등을 통제하는 ‘외부자 보안’ 항목, 중요 문서 등의 반출입 절차를 마련하는 ‘물리적 보안’ 항목, 외부자가 정보에 접근하는 권한을 한시적으로만 부여하는 ‘접근 통제’ 항목 등이 포함돼 있다.

그러나 카드사들은 ISMS 인증 의무 대상이 아니라는 이유로 그동안 정보보호 관리체계 수립을 외면해 온 것으로 나타났다. 정부는 지난해부터 정보통신서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자에 대해 ISMS 인증을 의무적으로 받도록 하고 있다. 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상자에서 제외됐다.

대규모 고객 정보를 보유하고 있는 시중 은행은 의무적으로 인증을 받아야 하는 대상에 포함되지만 실제 인증을 받은 곳은 KB국민은행, NH농협은행, 중소기업은행, 상호저축은행중앙회 등 일부에 불과하다. 미래부와 금융위원회 등은 은행과 카드사를 포함한 금융권에 ISMS 적용을 확대해야 한다고 보고 세부적인 도입 방안을 검토하고 있다.

윤샘이나 기자 sam@seoul.co.kr