• 페이스북
  • 트위터
  • 유튜브

뉴시스

유통·통신·카드 정보 유출 정보보호 인증제도 손본다

유통·통신·카드 정보 유출
정보보호 인증제도 손본다

쿠팡, SK텔레콤, KT, 롯데카드 등 ISMS-P(정보보호·개인정보보호관리체계) 인증을 받은 기업에서 대규모 개인정보 유출 사고가 발생함에 따라 개인정보보호위원회(개보위)와 과학기술정보통신부(과기정통부)가 인증제도 개편에 나섰다. 기존 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인 플랫폼 등 주요 개인정보처리시스템에 대해 의무화해 상시적인 개인정보 안전관리체계를 구축하게 한다. 사후심사 과정에서 인증기준 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하기로 했다. 개인정보보호위원회는 과학기술정보통신부와 6일 오후 4시 송경희 개보위원장 주재로 인증제 개선 관계부처 대책 회의를 개최했다고 밝혔다. 이날 회의에는 송 위원장을 비롯해 류제명 과학기술정보통신부 제2차관, 이상중 한국인터넷진흥원장이 참석했다. 개보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등을 점검한다. 과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 '정보보호 종합대책' 후속으로 통신, 온라인쇼핑몰 등 900여 개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했다. 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 계획이다. 마지막으로 두 기관은 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 제도 개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행한다. 다음은 양청삼 개보위 개인정보정책국장, 최광기 과기부 사이버침해대응과장, 김선미 한국인터넷진흥원 보안인증단장, 윤여진 개보위 자율보호정책과장과의 일문일답. -제도 개선안이 26년도 1분기 중 관련 고시 개정이다. 순차적으로 어떻게 진행할 예정인지. "(양청삼 개보위 개인정보정책국장, 이하 '양') 11월부터 국감 이후 정도 무렵부터 해서 과기정통부, 개보위, 한국인터넷진흥원(KISA)가 제도 개선방안 태스크포스(TF)를 계속 운영하고 있다. 제도 개선방안의 큰 골자들은 벌써 공감대가 있다. 기관들 간에 정확하게 인증심사 기준과 절차에 반영하려면 일부는 법이 개정되어야 하는 부분들이 있고, 대부분의 많은 요소들은 인증과 관련된 양 부처 고시가 있다. 과기부랑 개보위가 공동 운영하는 고시가 있다. 고시에 반영되면 기준이 전부 강화된다든지 사고 발생 시 현장점검한다든지 이런 부분들을 고시에 반영하면 시행이 된다. 12월부터 이제 시작해서 현장점검할 예정이다." -10월에 종합대책이 나오고 불시에 통신사 점검한다고 과기부에서 발표했다. 그 이후에 쿠팡 이슈가 있었다. 오늘 LG유플러스는 해킹이 아니라고 하는데, (개보위와 과기부 공통으로) 인증제도 강화에 대한 발표가 있었다. 그 과정에서 문제점을 파악한 게 있는지, 파악해 보니 이런 게 개선이 안 돼서 인증제도를 개선해야겠다는 의지를 갖고 발표한 것인지. "(양) 갑자기가 아니고 국감 때부터 시작해서 최근 국민 관심을 끄는 대형사고가 많았다. 일부 기업들은 ISMS-P(정보보호·개인정보보호 관리체계 인증) 인증을 취득했었다. 이런 상태에서 국정감사를 거치고 이번에 쿠팡 사고 때문에 정부 과방위 현안질의도 있었고 정무위 현안질의가 있었다. 거기에서 국회에서도 인증을 획득한 기업에서 사고 발생하다 보니까 실효성이 굉장히 문제 있는 게 아니냐, 이런 게 있어서 이와 관련해서 그간 양 부처, KISA까지 같이 해서 제도 개선방안들을 검토했던 부분들은 좀 더 가속화하고 실효적으로 이걸 나중에 고시에 반영해서 현장에서 이행될 수 있도록 하는 부분을 국민들에게 소상히 알릴 필요가 있겠다 해서 주말인데도 양 부처가 이렇게 논의했다. 원장님도 오셨고 해서 오늘 많은 논의를 해서 연말 제도개선방안 확정하기 위해서 노력들을 많이 한다. 이번엔 근본적으로 인증심사의 범위, 기준, 방식 등 이런 부분들을 철저하게 이렇게 검토해서 인증제도 실효성, 국민에게 신뢰받을 수 있는 인증제도를 만들기 위해서 노력하기로 뜻을 모았다." -지금까지 여러 가지 개인정보 유출사고를 생각하면 인증이 안 되어 있어서 벌어진 게 아니라, 인증받은 기업들도 개인정보 유출사고가 생긴 거다. 오늘 배포한 자료를 보면 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련한다고 돼 있다. 이에 대한 실효성을 강구하기 위한 구체적인 기준이 나와 있지 않다. 인증 취소한 기업에 대해서는 취소만 할 뿐이지 과징금이나 행정 벌이라든가 이런 기준을 마련할 계획인지 궁금하다. "(양) 첫 번째 질문 관련해서는 정보통신망법에 관련 내용이 지금 반영돼서 법령 개정을 추진 중이다." "(최광기 과기부 사이버침해대응과장, 이하 '최') ISMS(정보보호 관리체계)는 정보통신망법에 따라 국민 파급력이 높은 기업들에 대해서는 강화된 인증기준을 적용할 수 있다는 게 명시가 되어서 망법 개정안이 법사위까지 통과된 상황이다." "(양) 인증기준 실효성 강화에서 가장 중요한 건 인증 관련 기준을 아주 현실에 적합하게 하는 것이다. 그에 따른 개인정보보호 관리체계의 성숙도가 높아질 수 있도록 인증기준을 촘촘하게 현실에 맞게 작성하는 부분하고, 이걸 현장에서 인증기준대로 내부 관리체계를 잘 운영하는지 점검하는 부분, 한 번 인증하고 끝내는 게 아니라 보통 3년 유효기간이 있는데 매년 인증을 획득한 기업 또는 기관이 인증기준대로 제대로 운영하고 있는지 점검하는 부분, 이런 게 촘촘하게 이뤄져야 인증제도의 실효성을 확보할 수 있는 것이다. 이걸 무슨 처벌이라든지 이런 쪽으로 담보할 수 있는 건 아닌 것 같다." -인증범위에 자산 현황 추가하는 것도 자료에 있는데, 자산이라는 게 굉장히 많다. KT를 보면 KT조차도 자기 자산을 제대로 파악 못했던 상황이다. 이걸 정부에서 사기업 다 심사를 해서 확인하는 인력이 어떻게 하실 건지 구체적인 계획이 있나. "(김선미 한국인터넷진흥원 보안인증단장, 이하 '김') 인증범위 내에서 자산이나 이런 것들이 가장 기본적으로 식별돼 있어야 하는데, 그 부분들이 안 돼 있기 때문에 그걸 하겠다는 의미다. 담당이 아마 전체를 하진 못할 것이다. 그래서 기업 의견을 들어보고 올해는 어디까지, 그다음엔 어디까지라는 식으로 단계적으로 시행한다든지, 작은 범위에서는 바로 다 한다든지 이런 식으로 좀 확인하고 다시 식별해서 문제점이 없는지를 스스로 파악할 수 있도록 그렇게 운영할 예정이다." -쿠팡 건을 보면 직원이 인증키 들고 나가서 해외에서 규제라든지 조사라든지 이런 걸 할 때 국외에 있으니 현실적으로 어려움이 있었다. 그런 부분에 대해서 정부에서 이 보안 강화를 위해 가이드나 이런 거 계획하고 있는 게 있나. 직원에 대한 관리 강화, CISO(정보보호 최고책임자)에 대한 권한 강화를 이야기하긴 했었는데, 쿠팡 건을 보면 보안 관련 직원들에 대해서도 약간 그런 게 필요하지 않을까 싶다. "(양) ISMS, ISMS-P 인증 기준이 로컬 차원에서 우리나라의 독특한 사정을 개별적으로 만든 게 아니라 관련된 국제표준은 굉장히 오래전부터, 그러니까 인터넷이 확산되던 1990년대부터 관련 규정이 형성돼 왔고, 여러 가지 국제 표준이 있다. 그런 것들을 전부 반영해서 지금의 ISMS, ISMS-P 기준이 글로벌 스탠더드 같은 거다. 쿠팡이 문제 됐던 암호키 관리, 접근권한 퇴직자 관리 이런 소상한 게 이미 다 기준이 돼 있다. 제가 보기엔 앞으로 여러 가지 사건 전개 속에서 미흡한 점이 있는지 또는 국제 표준 말고 미국의 유력한 기관이라든지 중요한 내용들을 수용할 만한 기준이 있는지는 점검해 볼 텐데, 현재 인증기준 자체도 그런 부분에 있어서는 수준을 갖추고 있다는 걸 말씀드린다." "(김) 인증 기준에는 말씀하신 암호화 부분이나 퇴직자 관리 계정 등이 다 있다. 그 부분에 대해 저희가 심사하면서 어디까지 봤었는지에 대한 부분들에 대해서는 차이가 있을 것 같다. 실질적으로 심사를 봤을 때 어떻게 봐야 되는지에 대한 부분을 저희가 좀 더 논의하고 있다. 최근 이슈들에 대해서는 다른 기업들은 어떤 식으로 진행하고 있는지에 대해 심사 때 좀 더 확인한다든지 이런 방식으로 진행돼야 할 것 같다." -불시 검문에 있어서는 국회에서 특사경(특별사법경찰) 얘기도 나왔다. KISA에 특사경 제도를 도입하면 되나, 인력이 심사를 사기업 대상으로 전반적으로 수시로 하기에는 인력 한계가 있지 않나. 그런 부분에 대해서는 보완책 있나. "(양) 인증제도와는 좀 다른 얘기다. 성숙도를 정확하게 측정하기 위한 수단에 관련된 부분이다. 특사경 관련해서는 기본적으로 법 위반, 특히 형사적인 법 위반을 따지는 거라서 이 부분은 지금은." "(최) 특사경에 대해서는 인증과 관련된 내용이 아니고, 사고가 일어났을 때 사고가 났을 때 조사 이런 부분이다. 인증 관련해서는 말씀드리기가 좀." -인공지능(AI) 에이전트 관련해서 앞으로 이쪽으로 보안 이슈가 많이 늘어날 거다. 인증제도에 그런 내용들이 좀 담겨야 되지 않나. "(양) 인공지능 데이터 처리가 확산되면서 그 관련 부분이 적절하게 인증기준에 수용될 필요성은 있다." -그것에 대해서는 정부 계획이라든가 개선안이라든가 그런 거에 반영될 일은? "(양) 일부 검토되고 있는 건 있다. KISA 중심으로 해서 인공지능 데이터 처리 관련된 어떤 인증요소들을 어떻게 반영할 것인지 검토 중이다." "(윤여진 개보위 자율보호정책과장, 이하 '윤') 지금 AI를 도입하거나 서비스하는 기업들에 대해서 어떤 식으로 볼지에 대해서 항목들을 도출했다. 거기에 대한 개선 의견 등이 완성되면 나중에 심사할 때도 반영할 예정이다." -국민 파급력이 큰 기업에 대해서 강화된 인증기준 마련한다고 했는데, 아직 구체적인 건 마련 안 된 것인지. "(양) 작업 중이다." -인증제도를 전면 개선해서 강화한다고 해서 궁극적으로는 개인정보 유출사고를 막을 수 있냐 했을 때 그게 부족할 수도 있다는 생각이 든다. "(양) 인증을 받았다고 해서 사고가 없다 이런 건 아니다. 건강검진했다고 해서 병이 안 일어나는 건 아니다. 그렇다고 해서 인증이 무용하냐, 그건 아니라고 보여진다. 보안 통제 항목을 촘촘히 한 번 보시고 KISA에서 나온 인증제도 기준과 관련된 가이드라인을 쭉 보시면 어떻게 보면 보안은 ABC다. 이런 부분들은 기준 충족 여부를 달성하려고 노력하고 외부기관에 점검받는 과정이 인증이다. 이런 과정을 통해서 사실은 그 인증을 획득하고자 하는 기업들은 자신들의 보안 관리체계 수준을 높여 나갈 수 있는 거다. 이런 면에서는 인증제도는 현장에서의 의미는 꽤 있는데, 이제 인증획득 기업이 우리가 ISMS-P 기준으로 한 260개 정도 되면 조사 중인 게 27개이다. 그러니까 한 10% 정도에서 사고가 나는 건데 그런 부분만 갖고 전체 인증제도에 아무런 의미가 없다, 이렇게 비판받을 정도로 역할을 못하고 있는 건 아니다. 그런 순기능들을 잘 살려야 한다는 말씀을 드리고 싶다." -실효성 담보하기 위해서는 쿠팡처럼 인증받았음에도 유출사고가 있었으면 그거에 대한 제재가 있어야 되는 거 아니냐. "(양) 그게 취소에 대한 부분이다. 현재 법령상에 ISMS든 ISMS-P든 망법이든 개인정보보호법이든 취소할 수 있도록 돼 있다. 중대한 법규 위반이나 어떤 인증기준에 따른 개인정보 관리체계를 운영함에 있어서 인증기준에 중대하게 미달한 경우들, 이런 부분들에 있어서는 취소할 수 있도록 되어 있다. 저희가 사후심사 과정에 그런 부분들을 찬찬히 봐서 어떤 중대결함이 발생했을 경우에는 인증 취소하는 거를 적극 검토하려고 한다. 그런 내용도 이 제도개선방안에 담고 있다." "(최) 덧붙이면, 이 사고가 개인정보 유출이나 침해사고가 일어났을 때 정보통신망법이나 개인정보보호법상에서 과징금이나 이런 제재조치들이 있는 상황이다. 이번에 망법 개정안에 있어서도 정보통신망법이 개인정보보호법에 비해 제재 조치 수위라든가 이런 게 조금 낮았는데, 아직 본회의 통과는 안 됐지만 이행강제금 도입이라든가 반복되는 침해사고에 대해서는 과징금 도입하는 거라든가 이런 것들에 대해서 제재조치를 강화하고 있는 측면을 이해해 주면 좋겠다." -예를 들면 신고제에서 허가제로 바꾼다, 이런 개념처럼 인증 제도를 무조건 의무적으로 받아야 한다, 아니면 어떤 불이익이 있다는 이런 개념인가. "(윤) 우리 망법에서는 ISMS, 그러니까 80개 항목에 대해서는 일부 기업들이 의무화돼 있다. 안 했을 경우 과태료 조항이 있다. 그런 것처럼 주요 공공시스템이나 주요 플랫폼사 등을 했을 때 그런 부분들을 의무화하겠다는 것이고, 위반 시에는 과태료 제재가 가능하다." -기존 취득자는 보안을 강화하는 차원에서 조치를 하면 되는 거고, 기존에 인증받지 않은 기업들은 빨리 인증 취득해야 한다는 맥락으로 이해하면 되나. "(윤) ISMS까지 받은 경우가 있을 때는 21개 항목을 추가적으로 받는다고 보면 된다." "(양) ISMS-P 의무화는 법률 개정이 수반되어야 한다."

오늘의 TOP기사 더보기

뉴시스Pic

이슈

북중미 월드컵
조별리그 세 경기 모두 멕시코에서… 이동거리 부담 덜었다
중일 갈등
中 "일본행 항공권 무료 취소 연장"…갈등 장기화 조짐

# 모범시민

도로 한복판 뛰어든 배달기사, 대형쓰레기 치웠다

# 엄마 어디 계시니

中고속도로서 맨발로 기어다닌 '아기' 포착

# 곰곰이 생각하니

반년 동안 소름끼치는 동거…'지하 세입자'는 흑곰

뉴시스 연재

문화人터뷰

음대 출신 변호사, 시민악단으로 무대에… “아마추어라 믿기지 않을거예요” [문화人터뷰]

영상유튜브

8년 만에 만점, 2년 연속 만점! 수능 만점자들의 비결

폭설 속에서도 피어난 시민들의 따뜻한 손길

동덕여대 '공학 전환''에 칼부림 예고

서울에 내린 첫눈 대설주의보, 퇴근길 대란 이어져

포토

뉴시스 기획

건강 365

'폐고혈압중 3%' 희귀난치병…"숨차고 피곤하면 의심을"

'폐고혈압중 3%' 희귀난치병…"숨차고 피곤하면 의심을"

계단 등을 오를 때 호흡곤란이 심해지거나 지속적인 피로감이 있다면 폐동맥고혈압을 의심해 볼 필요가 있다. 6일 글로벌 제약기업 바이엘코리아에 따르면 폐동맥고혈압은 심장에서 폐로 혈액을 운반하는 폐동맥 내의 혈압이 상승해 혈관이 두꺼워지고 폐의 혈액 순환이 저하되면서 쉽게 숨 차고 피로해지는 질환이다. 전체 폐고혈압의 약 3%를 차지하는 희귀난치성 질환이다. 적절한 치료가 이뤄지지 않을 경우 우심부전으로 발전하거나, 심한 경우 사망에 이를 수 있다. 조기 진단과 치료가 필수적인 이유다. 초기 증상은 다른 질환으로 오인되기 쉽다. 초기 증상이 호흡곤란, 피로감 등 일반적인 증상과 유사해, 평균 진단까지 2년 이상 소요되는 것으로 알려져 있다. 대한폐고혈압학회에 의하면 국내 폐동맥고혈압 환자는 약 6000명에 달할 것으로 추정되지만, 이 가운데 절반만이 질환을 진단받고 있다. 제대로 치료받는 환자는 전체의 약 25% 미만에 불과한 것으로 나타났다. 질환에 대한 인식 부족과 진단의 어려움으로 상당수의 숨은 환자가 적절한 치료 시기를 놓치고 있는 상황이다. 서울아산병원 심장내과 김대희 교수는 지난 3일 바이엘코리아가 폐동맥고혈압 인식 제고를 위해 개최한 'Breath is Hope, 숨은 희망 토크쇼'에서 "폐동맥고혈압은 치료하지 않고 방치하면 우심부전으로 진행돼 생명을 위협하는 심각한 질환이지만, 병명 자체가 잘 알려져있지 않을 뿐 아니라 증상이 겉으로 드러나지 않아 조기 발견과 빠른 치료가 어려운 상황"이라고 말했다. 이어 "적절한 치료를 통해 반드시 관리가 필요하므로 평소와 다르게 평지보다는 계단을 오를 때 호흡곤란이 심해지거나 지속적인 피로감이 있다면 전문의 상담을 받아야 한다"고 말했다. 한국폐동맥고혈압환우회 '파랑새' 윤영진 회장 역시 "폐동맥고혈압은 세상에서 가장 슬픈 병 '심장암'이라 불릴 만큼 생존율이 낮은 질환으로, 제한된 치료옵션과 이름 때문에 생긴 오해로 인해 많은 환자들이 좌절감을 겪고 있다"고 말했다. 이어 "최근 폐동맥고혈압 진단율이 높아지고, 새로운 치료제의 급여 적용 등 치료 환경이 좋아지고 있는 만큼, 환자들의 적극적인 치료와 잘못된 인식을 바로잡는 사회적 노력이 절실하다"고 덧붙였다. 바이엘코리아 이진아 대표는 "폐동맥고혈압은 고혈압이라는 질환명 때문에 비교적 가벼운 질환으로 오인받기도 하지만 환자들이 진 삶의 무게는 결코 가볍지 않다"고 말했다. 한편, 이날 희망 토크쇼 행사는 희귀질환 폐동맥고혈압에 대한 사회적 관심 제고가 환자 조기 발견과 치료 접근성 향상의 첫걸음이라는 취지로 마련됐다.

소아 모야모야병, 유병률 늘고…치명적 합병증은 40%↓

소아 모야모야병, 유병률 늘고…치명적 합병증은 40%↓

희귀난치성 뇌혈관질환 '소아 모야모야병'의 발생 양상과 치료 및 예후를 전국 단위로 분석한 결과가 나왔다. 소아 모야모야병의 유병률은 지속적으로 증가한 반면 신규 발생률은 감소한 것으로 나타났다. 사망률과 허혈성 뇌졸중 발생률은 지속적인 감소 추세를 보였고, 치명적 합병증인 '출혈성 뇌졸중'이 약 40% 유의미하게 감소했다. 김승기 서울대병원 소아신경외과 교수·김상완 의생명연구원 연구교수와 이중엽 서울의대 교수, 이종석 삼성서울병원 교수팀은 2006~2021년 국민건강보험공단에 등록된 전국 18세 미만 소아 모야모야병 환자 4323명의 발생률, 유병률, 수술법, 예후 등을 후향적으로 분석한 결과를 5일 발표했다. 역학 분석 결과 소아 모야모야병 인구 10만명당 발생률은 지속적으로 감소해 2010년부터 약 2명 수준을 유지한 반면 유병률은 2006년 9.3명에서 2021년 24.8명으로 증가했다. 이는 전체 소아 인구가 감소한 반면, 모야모야병 환자의 생존율이 향상됐기 때문이라고 연구팀은 설명했다. 모야모야병은 뇌로 혈액을 공급하는 혈관이 원인 없이 점차 좁아지는 만성 진행성 뇌혈관질환이다. 10세 전후 소아와 40세 전후 성인에서 주로 발병하며, 부작용으로는 뇌혈관이 막히거나 파열되는 허혈성·출혈성 뇌졸중이 있다. 예후 분석에서는 사망률과 전체 뇌졸중, 허혈성 뇌졸중 발생률이 지속적으로 감소하는 추세를 보였다. 사망률은 2007년 1000인년당(환자 1000명을 1년간 관찰했을 때 발생한 사망 건수) 3.6명에서 이후 대부분의 연도에 1명 내외로 안정적으로 유지됐다. 연구팀은 이 결과가 국내 치료 환경이 소아 모야모야병 환자의 장기 생존에 유리하다는 점을 의미한다고 설명했다. 특히 치명적인 출혈성 뇌졸중은 1000인년당 2006년 3.3건에서 2021년 2.0건으로 약 40% 유의미하게 감소해, 소아 모야모야병 치료 환경의 질적 향상을 보여줬다. 수술법으로는 대부분 간접문합술(뇌에 피를 공급하도록 두피 혈관을 분리해 뇌표면에 접촉시킴)이 실시됐고, 전체 수술률은 점차 증가해 2018년부터는 88%의 환자가 수술적 치료를 받았다. 김승기 교수(소아신경외과)는 "이번 연구를 통해 전국 소아 모야모야병 발생률과 예후에 대한 기초 자료를 확보했다"며 "축적된 역학 자료를 기반으로 향후 다기관 임상 네트워크 구축 등을 통해 국내 임상현실에 최적화된 소아 모야모야병 치료 방향이 수립되길 기대한다"고 말했다. 이번 연구는 이건희 소아암·희귀질환 극복사업의 지원을 받아 수행됐으며, 국제학술지 '국제 뇌졸중 저널'(International Journal of Stroke) 최근호에 게재됐다.

숏츠

인터뷰

기자수첩

피플

위클리뉴시스

그래픽뉴스

오늘의 운세

오늘의 운세
[녹유 오늘의 운세] 93년생 조금씩 성장으로 정상을 향해 가요

많이 본 기사

N샷

세상에 이런일이

연세대서 마약 취해 비틀비틀…30대 남성 긴급체포
오늘의 주요 일정
k-Artprice 베너
전국 고속도로 교통상황 한국도로공사 정보보기

재테크 핫뉴스

지방소멸 위기 극복 플랜

대전 간 한성숙 장관 "글로컬 상권 창출, 차질없이 준비"

대전 간 한성숙 장관 "글로컬 상권 창출, 차질없이 준비"

뉴시스와 봉사릴레이

"모두가 따뜻한 겨울 보낼 수 있게" 식품·외식가, 연말기부 잇따라
구독
구독
기사제보