화면낭독기 사용시 다음 링크들을 이용하면 더 빠르게 탐색할 수 있습니다.
 
즐겨찾기 문화일보 PDF
IT정보화

`e프라이버시` 인증 개인정보보호협회… `여기어때` 고객정보 유출사고로 불똥

초보적 해킹 수법에 '속수무책'
보안업계 비판 피하기 어려울듯 

이경탁 기자 kt87@dt.co.kr | 입력: 2017-04-19 18:00
[2017년 04월 20일자 16면 기사]

원본사이즈   확대축소   인쇄하기메일보내기         트위터로전송 페이스북으로전송 구글로전송
최근 발생한 숙박서비스 '여기어때'의 고객정보 유출 사고가 개인정보보안인증제도 e프라이버시 인증을 제공하는 개인정보보호협회로 불똥이 튀었다.

19일 민간자율기구 개인정보보호협회에 따르면 협회는 개인정보보안인증제도 e프라이버시 인증을 받은 기업은 200여개로 인증 자체는 문제가 없었다는 주장을 펴고 있다.

여기어때가 해킹을 당한 뒤 보안업계를 포함한 일부에선 '정부가 인증하는 정보보호관리체계(ISMS) 및 개인정보보호관리체계(PIMS)인증을 취득했으면 이번 유출 사고가 발생하지 않았을 것'이라는 지적이 나오고 있다.

이에 대해 문제선 개인정보보호협회 인증마크 팀장은 "e프라이버시 인증의 경우 개인정보의 수집·이용·파기와 개인정보처리시스템의 기술적·관리적 보호조치 등 9개 분야에 대해 76개 통제항목을 통해 심사를 진행하고 있다"며 "웹사이트의 개인정보 보호 수준을 정보통신망법과 개인정보보호법에 근거한 자체 인증심사 기준을 적용 중"이라고 밝혔다.

특히 ISMS와 PIMS와 점검 통제항목을 비교했을 때 e프라이버시 인증의 항목은 크게 다르지 않고, 인증하는 범위가 웹사이트로 한정됐다는 것이 협회의 주장이다. 더불어 여기어때를 운영 중인 위드이노베이션의 경우 지난해 매년 진행되는 갱신인증을 위한 심사 절차를 진행하지 않아 인증의 효력이 없어진 상태라는 것.

그러나 e프라이버시 인증을 한번 받았던 기업이 초보적 해킹법인 SQL인젝션 공격에 당했다는 것에 개인정보보호협회는 보안업계의 비판을 피하기 어려워 보인다.

이에 협회는 심사항목의 90% 이상을 이행하고 있는 기업 및 기관에 인증위원회 심의절차를 거쳐 인증마크를 부여하고 있는데 필수 항목을 40%에서 42%까지 늘리고 점진적으로 확대한다는 계획이다.

문 팀장은 "개인정보보호와 관련된 인증을 받았다고 모든 해킹 사고로부터 완벽하게 보호받는 것은 아니다"라며 "개인정보보호 관련 인증을 통해 안전한 개인정보보호 자율규제 환경을 만들어 가려는 협회나 기업들의 노력이 그 동력을 잃지 않기를 희망한다"고 전했다.

이경탁기자 kt87@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
DT Main
선풀달기 운동본부
연예 섹션