롯데카드가 정보보호 및 개인정보보호 관리체계 인증인 'ISMS-P' 인증을 받은 지 약 보름만에 침해사고가 발생하면서 ISMS 인증 제도에 대한 실효성 문제가 도마 위에 올랐다.
24일 열린 국회 과학기술정보방송통신위원회(과방위)가 개최한 KT·롯데카트 해킹 청문회에서 조인철 더불어민주당 의원은 조좌진 롯데카드 대표에게 ISMS-P 인증을 획득한 지 얼마 되지 않아 유출 사태가 있었다고 지적하며 롯데카드의 잘못인지 ISMS-P 인증제도에 허점이 있었는지를 질의했다.
이와 관련해 조 대표는 "ISMS-P가 모든 항목에 대해 점검을 실시하는 것은 아니다"면서도 "회사 내부의 정보보호 관리 실태가 부실했다"고 ISMS-P 인증 제도의 허점보다는 회사의 책임으로 돌리는 답변을 했다.
ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA는 관리·감독을 맡는다.
앞서 롯데카드는 지난달 14일 오후 해킹으로 내부 파일이 유출됐다. 유출 규모는 200GB(기가바이트) 수준이며, 피해 인원은 297만명이다. 이번 해킹으로 일부 회원의 주민등록번호, CVC(카드 뒷면 3자리 숫자), 내부 식별번호 등이 유출됐다.
그러나 ISMS-P 인증을 받은 지 보름 만에 침해사고가 발생한 만큼 보안업계 일각에서는 ISMS 인증 자체가 실효성이 떨어진다는 지적이 제기됐다.
익명을 요구한 보안업계 관계자는 "ISMS 인증제도 자체가 회사나 기관이 개인정보나 정보보호를 얼마나 잘 관리하고 있는지를 살펴보고, 적합하다는 판정을 내리는 것인데 인증을 받자마자 해킹에 속수무책으로 당했으면 사실상 제도 자체가 실효성이 없다는 것을 방증한 셈"이라며 "예컨대 HACCP(한국식품안전관리인증원에서 운영하는 식품 안전 관리 인증) 인증을 받은 식품을 구매해서 먹었는데 식중독에 걸린 것과 마찬가지"라고 목소리를 높였다.
심지어 조 대표가 청문회에서 밝힌 내용을 종합하면 오라클이 개발한 자바 웹 애플리케이션 서버(WAS) 제품에서 2017년 발견된 취약점을 패치했어야 했으나, 당시 롯데카드는 48개의 온라인 결제서버 중 한 개의 서버에 패치를 놓친 것으로 확인됐다. 그럼에도 현재까지 약 8년간 해당 서버에 대한 보안 패치가 이뤄지지 않아 해커의 침투를 허용하게 된 것이다. 또 오라클 취약점에 대한 적절한 패치가 이뤄지지 않고 방치돼 있음에도 ISMS-P 인증이 나와 무용론이 더 거세졌다.
청문회 당일 김승주 교수도 이 점을 지적하며 "ISMS 인증 체계는 기본 건강검진 같은 것인데, 롯데카드 같은 경우 굉장히 중요하다고 긴급 업데이트하라고 공지한 보안 취약점이 8년 동안 방치돼 있었다"며 "이렇게 긴급한 보안 취약점이 8년 동안 방치돼 있었는데 2025년에 ISMSP 인증서가 나간 것은 분명한 관리 부실"이라고 지적했다.
관련기사
- MBK 김병주 회장, 롯데카드 해킹 청문회 증인 채택…출석 여부 주목2025.09.23
- 김승주 교수 "사이버 보안 3축체계 마련해달라”2025.09.24
- 경찰 "해킹 장비, KT 미수거 펨토셀로 보기 어려워"2025.09.24
- 김영섭 KT "사태 해결에 최선...펨토셀 관리 부실"2025.09.24
한편 25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면 KT 해킹의 발단이 됐던 펨토셀(불법 초소형 기지국)은 ISMS-P 인증범위에 빠져있는 것으로 나타나 ISMS 인증 제도의 실효성 논란에 불을 지피고 있다.
이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다"라며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.
