카드사들 '정보보호관리체계' 외면이 정보 유출 불렀다

정보 유출 사태를 빚은 3개 카드사들이 '정보보호관리체계'(ISMS)를 외면한 것으로 나타났다. KB국민카드, 롯데카드, 농협카드 뿐 아니라 대부분의 카드사가 이 제도에 관심을 기울이지 않아 개인 정보보호에 대한 소극적 대처에 비난이 쏟아지고 있다. 

ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도.

26일 미래창조과학부와 KISA에 따르면 이번에 정보유출 사고를 일으킨 3개 카드사 모두 ISMS 인증업체 명단에서 빠져 있다. 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.

ISMS 인증을 받으려면 104개 항목 기준을 통과해야 한다. 이 가운데는 외부인이 주요 전산망에 접근해 저장기기로 정보를 빼가는 등 이번 정보유출 범행 수법을 방지하는 항목도 포함되어 있다. 카드사들이 인증을 받았다면 이번 개인정보 유출 사태 가능성을 낮출 수 있었다는 것이 KISA 관계자의 설명이다.

문제는 카드사들이 의무 ISMS 인증 대상이 아니라는 점이다.

정부가 지난해 도입한 ISMS 인증은 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사업자에 한해 가입이 의무화 되어 있기 때문이다. 포털, 쇼핑몰 등 주요 인터넷 기반 사업자는 대상자에 포함되지만, 카드사들는 대상에서 제외됐다.

결국 카드사들이 자발적으로 보안을 강화하기 위해 ISMS 인증을 신청하지 않았다는 의미다.

은행 업계도 별 반 다르지 않다. 인터넷뱅킹 매출과 이용자 측면에서 ISMS 의무 인증 사업자이지만 실제로 ISMS 인증을 받은 곳은 국민은행, NH농협은행, 상호저축은행중앙회, 중소기업은행 등에 불과하다.

[소비자가만드는신문=김미경 기자]