스페셜 pick

"ISMS-P 인증 무색…신한카드, 내부자 일탈로 19만건 개인정보 유출"

스페셜경제의 T스토리 2025. 12. 26. 15:44
"쿠팡 이어 또…정부, 인증 제도 전면 개편 착수…보안은 ‘투자’ 아닌 ‘관리’ 문제"

 

신한카드 본사 전경. [사진=뉴시스]


스페셜경제=박정우 기자 | ISMS-P 인증 기업인 신한카드에서 약 19만건의 개인정보가 유출된 것으로 드러나면서, 정보보호 인증 제도의 실효성 논란이 재점화되고 있다. 업계와 전문가들은 ‘보안의 핵심은 기술이 아닌 관리’라는 점을 다시 한번 일깨운 사건이라고 입을 모은다.

지난 24일 개인정보보호위원회와 신한카드에 따르면, 이번 유출 사고는 외부 해킹이 아닌 일부 내부 직원의 ‘신규 카드 모집 실적 확대’ 목적의 일탈로 인해 발생했다.

유출된 정보는 지난 2022년 3월부터 2025년 5월까지 수집된 신규 가맹점 대표자의 개인정보로, 휴대전화번호 18만1585건을 포함해 총 19만2088건에 달하는 것으로 추정된다.

신한카드는 해킹이 아닌 내부 직원의 일탈 행위라는 점을 강조하며 “유출 정보가 다른 경로로 확산될 가능성은 낮다”고 해명했지만, 장기간 동안 아무런 통제 없이 개인정보가 반출된 사실은 기업 보안 체계 전반의 허점을 그대로 드러냈다는 지적이다.

특히, 신한카드는 ISMS-P(정보보호관리체계 인증 및 개인정보보호 인증)를 획득하고 업계 최초로 CISO(최고정보보호책임자) 직책을 도입해 전사적 보안체계를 갖춰왔다고 자부해왔던 터라 충격은 더욱 크다.

실제로 이번 신한카드 유출은 앞서 논란이 된 쿠팡 고객정보 유출 사고와 유사하다. 쿠팡도 퇴직자 계정 관리와 접근 통제 부실이 원인으로 지목되며, 내부 보안 관리체계의 미흡함이 도마에 올랐다.

이 같은 사태가 잇따르자 정부도 ISMS-P 제도에 대한 전면 개편에 착수했다. 과학기술정보통신부와 개인정보보호위원회는 최근 관계부처 회의를 열고, 기존 자율 인증 체계였던 ISMS-P를 대형 온라인 플랫폼, 통신사, 공공시스템 등 주요 정보처리 주체에 대해 의무화하는 방안을 추진하기로 했다.

또한, 사회적 파급력이 큰 기업에는 강화된 인증 기준을 적용하고, 예비심사 단계부터 핵심 항목 사전검증, 기술 및 현장 실증 심사 확대 등으로 실효성을 높이겠다는 계획이다.

사후 관리도 대폭 강화된다. 인증 기업에서 사고가 발생하면 즉시 특별 사후 심사에 착수하고, 중대한 위반이 발견될 경우 인증 취소까지 가능하도록 관련 법 개정을 병행 추진 중이다. 사고 기업의 경우 심사 인력과 기간을 두 배로 늘려 재발 방지 대책을 집중 점검할 방침이다.

한편, 정부는 쿠팡 등 유출 사고가 발생한 기업들을 대상으로 현장 점검에 돌입했으며, 내년 초부터는 ISMS 인증 기업 900곳에 대한 긴급 보안 점검과 검증에도 착수할 예정이다.

 

 

 

 

 

"ISMS-P 인증 무색…신한카드, 내부자 일탈로 19만건 개인정보 유출" - 스페셜경제

스페셜경제=박정우 기자 | ISMS-P 인증 기업인 신한카드에서 약 19만건의 개인정보가 유출된 것으로 드러나면서, 정보보호 인증 제도의 실효성 논란이 재점화되고

www.speconomy.com