7개 보안 인증 갖춘 쿠팡…3000만건 유출에 인증 실효성 논란

박대준 쿠팡 대표이사가 2일 서울 여의도 국회에서 속개한 과학기술정보방송통신위원회의 쿠팡 개인정보 유출 사고 관련 현안질의에 출석해 의원들 질의를 받고 있다. [사진=연합뉴스]

쿠팡이 최근 3000만건이 넘는 대규모 개인정보 유출 사고를 일으킨 가운데 회사가 그동안 다수의 국내외 정보보호·프라이버시 인증을 보유해 온 사실이 확인되면서 인증제도 실효성 논란이 커질 전망이다.

3일 쿠팡이 자사 프라이버시센터 홈페이지에 공개한 자료를 보면 회사는 정보보호·개인정보보호 관리체계(ISMS-P)를 비롯해 ISO/IEC 27001(정보보호경영시스템)·27701(개인정보보호관리체계)·27017(클라우드 보안 관리체계), APEC·Global CBPR, PCI DSS, ePrivacy(프라이버시) 등 7개의 국내외 보안·프라이버시 인증을 갖추고 있다.

ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는, 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.

ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제표준으로, 약 90개 항목에 대한 심사를 통과해야 인증을 받을 수 있다.

이밖에 APEC·Global CBPR은 개인정보를 국제 기준에 따라 안전하게 처리하고 국경 간 전송 요건을 충족했음을 검증하는 인증이며, ePRIVACY 인증은 웹사이트의 개인정보 보호 법규 준수와 안전한 처리 여부를 평가하는 제도다. PCI DSS는 신용카드 회원 데이터 보호 강화를 위해 마련된 국제 결제 데이터 보안 표준이다.

하지만 쿠팡은 이 같은 인증 체계를 갖추고 있었음에도 전직 직원에 의해 정보가 유출된 것으로 알려졌다. 전날 국회 과학기술정보방송통신위원회 현안 질의에서도 관련 공방이 이어졌다. 박대준 쿠팡 대표는 해당 전직 중국 국적 직원을 "인증 업무 담당자가 아니라 인증 시스템을 개발하는 개발자였다"고 설명했다.