최근 몇 년 사이 기업의 정보보안 수준을 평가하는 ISMS-P 인증 기준이 강화되며 많은 기업이 이를 준비 중입니다. 특히, 대형 유통 플랫폼인 쿠팡의 개인정보 유출 사건이 보도되면서, 인증제도의 실효성에 대한 관심이 높아지고 있습니다. 또한 최근 언론을 통해 알려진 중견기업 해롤드의 해킹 사고는 보안의 사각지대가 여전히 존재함을 보여주고 있습니다. 이번 글에서는 강화된 ISMS-P 기준이 무엇인지, 쿠팡과 해롤드 사례를 통해 어떤 점을 시사받을 수 있는지 분석해보겠습니다.
ISMS-P 인증 기준 강화
ISMS-P는 기업의 정보보호 관리체계와 개인정보보호 체계를 동시에 인증하는 제도로, 2021년 이후로 기업의 의무사항이 점차 강화되고 있습니다. 특히 2024년부터는 클라우드 기반 인프라 확대, 재택근무 환경 보편화 등 새로운 환경에 맞춰 위험관리 기준과 모니터링 체계가 더욱 세분화되었습니다. 예를 들어, 기존에는 취약점 점검 주기만 확인하면 되었던 항목이 이제는 자동화된 점검 도구 사용 여부, 실시간 침해 탐지 시스템 운영 여부까지 확인해야 하는 수준으로 변화되었습니다.
이처럼 인증 기준이 강화된 배경에는 실제 유출 사고 이후 기업의 대응 미흡이 반복되었기 때문입니다. 인증을 받았다고 해도 시스템이 제대로 운영되지 않으면 의미가 없습니다. 최근에는 인증심사 시 단순한 문서 검토를 넘어서 실제 로그 기록, 내부 교육 이수 현황, 침해사고 대응 시나리오 등을 포함한 심화 점검이 이뤄지고 있습니다.
중소기업이나 스타트업은 비용 문제로 ISMS-P 인증을 미루는 경우가 많은데, 이는 장기적으로 볼 때 오히려 더 큰 리스크를 초래할 수 있습니다. 2024년 개정안에서는 인증 대상이 확대되며, 특정 업종과 기업 규모에 따라 의무화가 추진되고 있어 보다 전략적인 접근이 필요합니다.
쿠팡 개인정보 유출 사건 분석
2024년 중반, 국내 최대 이커머스 플랫폼 중 하나인 쿠팡에서의 개인정보 유출 사건은 업계 전반에 충격을 주었습니다. 해커는 내부 시스템의 API 취약점을 이용해 일부 고객의 이름, 연락처, 주소 등의 개인정보를 획득한 것으로 알려졌습니다. 쿠팡은 ISMS-P 인증을 받은 상태였지만, 이번 사건은 "인증 보유=무결점 보안"이 아니라는 점을 분명히 보여줍니다.
해당 사건의 핵심은 외부 침입이 아닌, 내부 시스템 관리의 허술함이었습니다. 인증 당시에는 시스템이 정상 운영 중이었으나, 이후 보안 업데이트가 미뤄지고 로그 모니터링이 약화되면서 해커의 침투를 감지하지 못했던 것입니다. 이로 인해 쿠팡은 과태료 부과와 함께 사회적 신뢰도에도 큰 타격을 입었습니다.
문제는 이 사건이 쿠팡에만 국한되지 않는다는 것입니다. 많은 기업들이 인증을 일회성 행사로 보고, 인증 이후 유지관리에는 소홀한 경우가 많습니다. 또한 보안 관련 인력이 부족한 상황에서 자동화 시스템 도입이 늦어지면, 인증의 실효성은 점점 떨어질 수밖에 없습니다.
결국, 쿠팡 사건은 인증 그 자체보다 **"인증 이후 운영 체계의 지속적인 관리"**가 얼마나 중요한지를 보여주는 대표적인 사례로 기록될 것입니다.
해롤드 사례로 본 보안의 맹점
중견 미디어 기업 해롤드는 2024년 하반기에 내부 서버가 랜섬웨어에 감염되어 주요 고객정보와 내부 문서가 유출되는 사고를 겪었습니다. 특히 이 사건은 외부 공격이 아닌, 협력업체를 통한 간접 침입 방식이었기 때문에 더 큰 충격을 주었습니다. 해롤드는 ISMS-P 인증을 진행 중이었지만 아직 완료되지 않았고, 바로 그 틈을 해커가 파고든 것입니다.
이 사건은 두 가지 중요한 시사점을 줍니다. 첫째, 인증을 준비 중인 기업도 공격 대상이라는 점입니다. 인증 절차를 밟고 있더라도, 보안 시스템이 완비되지 않았다면 해커 입장에서는 더욱 손쉬운 표적이 될 수 있습니다. 둘째, 협력업체 관리의 중요성입니다. 최근 강화된 ISMS-P 기준에서도 협력사 및 외주업체 보안관리 항목이 추가되었는데, 해롤드 사건은 그 필요성을 명확히 보여준 셈입니다.
해킹 이후, 해롤드는 사과문 발표와 함께 시스템 전면 교체, 외부 보안 감리 도입, 임직원 보안 교육 강화 등의 대책을 발표했습니다. 하지만 유출된 정보의 양과 신뢰 회복에는 상당한 시간이 걸릴 것으로 보입니다.
이처럼 ISMS-P 인증은 기업 내부뿐만 아니라 외부와의 연결 구조까지 통합적으로 관리해야 그 효과를 기대할 수 있습니다. 특히 중견기업일수록 인증의 범위를 좁게 해석하지 말고, 가능한 모든 취약 지점을 사전에 점검하는 것이 중요합니다.
결론: 요약 및 대응 전략
쿠팡과 해롤드 사례는 ISMS-P 인증의 필요성과 한계를 동시에 보여줍니다. 단순한 인증 취득이 아니라 지속적인 보안 운영 체계 확보와 외부 리스크 관리가 병행되어야 진정한 정보보호가 가능합니다. 인증을 준비 중이거나 이미 인증을 받은 기업이라면, 지금이야말로 내부 시스템 점검과 교육, 자동화 시스템 도입 등을 강화할 시점입니다.