1억여건의 가입자 정보 유출 사태를 빚은 카드사들이 보안 문제를 사전에 방지하는 ‘정보보호관리체계’(ISMS)도 외면한 것으로 나타났다.
이미지 확대
23일 카드사 고객정보 대규모 유출 사태와 관련해 서울 영등포구 여의도 국회 정무위 회의실에서 정무위원회 전체회의가 열린 가운데 이신형(오른쪽에서 두 번째) NH농협카드 사장, 심재오(맨 오른쪽) KB국민카드 사장이 시선을 아래로 떨군 채 곤혹스러운 표정을 짓고 있다. 안주영 기자 iya@seoul.co.kr
ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도.
이번 정보유출 사고에 연루되지 않았더라도 대부분의 카드사는 이 제도에 관심을 기울이지 않아 정보보호에 소극적으로 대처한다는 비판이 제기되고 있다.
26일 미래창조과학부와 KISA에 따르면 이번에 정보유출 사고를 일으킨 국민카드, 롯데카드, 농협카드는 ISMS 인증업체 명단에서 빠져 있다. 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.
ISMS 인증을 받으려면 104개 항목 기준을 통과해야 한다. 이 가운데는 외부인이 주요 전산망에 접근해 저장기기로 정보를 빼가는 등 이번 정보유출 범행 수법을 방지하는 항목도 있다.
외부자 직원의 출입·보유장비·업무망 접속 등을 통제하는 ‘외부자보안’ 항목, 중요 문서 등의 반출·입 절차 등을 마련하는 ‘물리적보안’ 항목, 외부자가 정보에 접근하는 권한을 한시적으로만 부여하는 ‘접근통제’ 항목 등이 여기에 해당한다.
KISA 관계자는 “국민카드, 롯데카드, 농협카드가 이런 대책을 마련해 ISMS 인증을 받았더라면 이번 사고의 발생 가능성을 낮출 수 있었을 것”이라고 말했다.
