작년 190만명 회원 정보 유출한 `뽐뿌`… 정보보호 의무 인증은 `무소식`

지난해 해킹으로 190만건에 이르는 회원 정보가 유출된 온라인 커뮤니티 `뽐뿌`가 사고 발생 반년여가 지난 지금까지 정보보호관리체계(ISMS) 인증을 받지 않았다. 의무인증 대상인 데다 당시 사과문을 통해 인증 획득을 약속했지만 후속 대응에 미진한 모습을 보이고 있다.

뽐뿌
뽐뿌

3일 관련 업계와 한국인터넷진흥원(KISA)에 따르면 ISMS 의무인증 대상인 뽐뿌는 지난해 말까지 인증을 받지 않아 현재 과태료 처분 절차가 진행되고 있다. 올해 초에 관련 법규 위반에 대한 사전 안내가 나갔다. 이의신청 등 조정 과정을 거쳐 하반기 중에 과태료 처분 여부가 결정된다.

뽐뿌는 휴대폰 구매 정보와 상품 구매 관련 소비자 의견이 공유하는 국내 쇼핑정보 온라인 커뮤니티다. 지난해 9월 11일 해커에 의한 SQL인젝션 공격으로 회원 196만명의 아이디(ID), 비밀번호, 로그인 정보, 이메일 등이 유출됐다. 회원 정보의 대량 유출 외에도 감염자 스마트폰에 지속해서 광고를 노출하는 모바일 악성 애플리케이션(앱)까지 유포된 것으로 알려졌다.

지난해 9월 11일 해커에 의한 SQL인젝션 공격으로 뽐뿌 회원 196만명의 아이디(ID)와 비밀번호, 로그인 정보, 이메일 등이 유출됐다.ⓒ게티이미지뱅크
지난해 9월 11일 해커에 의한 SQL인젝션 공격으로 뽐뿌 회원 196만명의 아이디(ID)와 비밀번호, 로그인 정보, 이메일 등이 유출됐다.ⓒ게티이미지뱅크

미래창조과학부 민관 합동조사단 조사 결과 뽐뿌 홈페이지와 개인정보 저장 서버에서 다양한 취약점이 발견됐다. 사고 이전부터 KISA에서 뽐뿌에 공문을 보내 ISMS 인증을 안내했지만 인증 의무를 지키지 않은 사실도 추가로 밝혀졌다.

KISA 관계자는 “뽐뿌가 지난해 사고 이후 아직 ISMS 인증을 받지 않은 것은 맞다”면서 “ISMS 의무 대상자 미인증 법규 위반에 대해 안내가 나가면 대부분 이의 신청하고 조정 과정을 거쳐 과태료 부과까지도 시간이 걸린다”고 설명했다.

정보통신망법에 따라 민감한 정보를 다량 다루는 기관이나 다수 국민이 이용하는 정보통신서비스 제공 업체 등은 ISMS 인증을 받도록 지정했다. 정보 보호에 필요한 최소한의 보안 수준을 맞추기 위해서다.

ISMS 인증제도(자료:KISA)
ISMS 인증제도(자료:KISA)

KISA에서도 매년 2회 의무 대상을 안내한다. 의무 대상자임에도 그해 말까지 인증을 취득하지 않을 경우 과태료 1000만원(개정안부터는 3000만원)이 부과된다.

문제는 과태료보다 비싼 인증비용이다. 컨설팅과 보안 장비 도입 등 준비 비용이 높다. 인증에 들어가는 비용에 부담을 느끼는 기업이 인증을 받는 대신 과태료를 내는 사례가 적지 않다. 뽐뿌 역시 같은 이유로 인증 획득에 미온적이다.

ISMS 인증기업 추이(자료:KISA)
ISMS 인증기업 추이(자료:KISA)

소비자와 서비스 이용자가 해당 사실을 알도록 과태료 처분을 받은 기업을 공개하자는 의견도 있지만 법적 근거가 없다. 현재 의무 또는 자율로 인증을 받은 기업에 대해서만 KISA ISMS 웹페이지에서 발급 현황 확인이 가능하다.

박정은기자 jepark@etnews.com