대부분의 카드사 ‘정보보호관리체계’ 마련에 소홀

[보안뉴스 김태형] 사상 초유의 정보유출 사태를 빚은 3개 카드사들이 ‘정보보호관리체계(ISMS)’에는 소홀한 것으로 나타났다. ISMS 인증은 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 정보보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도이다.

지난해 정부는 통신사와 IT 서비스 업체, 웹사이트 등 정보통신 서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자에 대해서만 ISMS인증을 의무화했다.

이에 포털, 쇼핑몰 등 주요 인터넷 기반 사업자는 의무인증 대상자에 포함되었지만 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의무 대상에서 빠졌다.

미래창조부와 한국인터넷진흥원(KISA)에 따르면, 이러한 이유로 KB국민카드, 롯데카드, 농협카드 뿐 아니라 대부분의 카드사는 ISMS 인증 대상에서 빠져있고 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.

ISMS 인증을 받으려면 104개의 통제항목 기준을 통과해야 한다. 이 가운데는 외부인이 주요 전산망에 접근해 저장기기로 정보를 빼가는 등 이번 정보유출 범행 수법을 방지하는 항목도 포함되어 있다.

만약 카드사들이 ISMS 인증을 받았다면 이번 개인정보 유출사건 발생의 가능성을 낮출 수 있었다는 것이 KISA 관계자의 설명.

하지만 문제는 카드사들의 ISMS 인증은 의무사항이 아니라 선택사항이라는 점이다. 결국 이번 사건의 카드사들은 자발적으로 보안을 강화하기 위해 ISMS 인증을 신청하지 않았다.

이러한 현상은 은행 업계도 마찬가지다. 인터넷뱅킹 매출과 이용자 측면에서 ISMS 의무 인증 사업자이지만 실제로 ISMS 인증을 받은 곳은 국민은행, NH농협은행, 상호저축은행중앙회, 중소기업은행 등에 불과하다.

의무 대상자가 아니더라도 자발적으로 보안을 강화하기 위해 ISMS 인증을 신청할 수 있지만, 카드사들은 금융당국으로부터 전자금융거래법과 전자금융감독규정 등 규제를 받는다는 등의 이유로 이를 외면했다.

이에 미래부는 ISMS 적용 확대를 위해 금융당국과 협의할 계획이며 금융위원회도 이른바 ‘금융 ISMS’가 필요하다고 보고 도입방안을 검토하고 있는 것으로 알려졌다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>