금융보안원이 개인정보보호위원회와 함께 금융사를 대상으로 한 보안 관리 체계 인증 기준을 보완하기로 했다. 해킹으로 내부 파일이 유출된 롯데카드가 불과 사고 이틀 전 해당 인증에서 최고 등급을 받은 사실이 알려지면서 논란이 커지고 있기 때문이다. 금융보안원은 금융거래와 관련된 인증제 평가 항목을 강화할 예정이다.
23일 금융업계에 따르면 금융보안원은 조만간 개보위와 협력해 금융업 관련 개인정보보호관리체계(ISMS-P) 기준을 보완할 계획이다. 개보위가 최근 ISMS-P 개편안을 발표한 만큼, 같은 시기 금융보안원도 인증 기준을 강화한다는 취지다. 개보위는 이달 ISMS-P 인증을 현장 심사 중심으로 고도화하고 이동통신 등 핵심 분야에는 단계적 의무화를 검토하는 내용의 개편안을 내놨다.
ISMS-P 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보 보호 체계와 고객 개인정보 보호 관리 체계가 적절히 운영되는지를 심사하는 공인 인증 제도다. 국내 최고 수준의 관리 체계 인증으로 평가받는다. 인증 범위는 정보 보호에 필요한 조직 구성 여부, 개인정보 처리의 적합성 등을 포함한다. ISMS-P의 평가 기준은 주로 개보위가 마련하지만, 금융 거래 관련 항목은 금융보안원이 관여한다.
금융보안원 관계자는 "지금까지 ISMS-P는 특정 기업이 기초적인 보안 체계를 갖추고 있는지 평가하는 '운전면허' 개념에 가까웠다"며 "그러나 최근 금융권 보안 문제가 확산되면서 인증 체계를 개보위와 협력해 강화하는 방향으로 개편하려 한다"고 설명했다.
지난달 롯데카드는 ISMS-P 101개 인증 기준에 대한 심사를 받고 인증을 획득했다고 밝혔다. 그러나 같은 시기 해킹 사고로 200GB(기가바이트)에 달하는 정보가 유출됐다. 주민등록번호, 카드 뒷면 CVC(카드 뒷면 3자리 숫자) 등 민감한 정보가 포함됐으며, 유출 회원 가운데 28만명은 부정 사용 가능성까지 제기됐다.
이에 따라 인증제 무용론이 불거지며, ISMS-P 취득이 사이버 공격으로부터의 안전을 보장하지 못한다는 지적이 나오고 있다. 금융보안원은 "인증으로도 막을 수 없는 불가항력적 요소가 있었는지 검토할 계획이다"라고 밝혔다.