[현장클릭] 착시현상 방치한 'ISMS-P 누리집' 작성일 03-12 14 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Gyo7QRwaoJ"> <figure class="s_img figure_frm origin_fig" contents-hash="a8e5e9e99485d1dd8c8730204403e1c74c33ad86546f82cf7870e96a8d56f3d7" dmcf-pid="HWgzxerNjd" dmcf-ptype="figure"> <p class="link_figure"><img alt="[현장클릭] 착시현상 방치한 'ISMS-P 누리집'" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/12/fnnewsi/20260312165927861htcz.jpg" data-org-width="155" dmcf-mid="Wiw4oNvmjn" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/12/fnnewsi/20260312165927861htcz.jpg" width="155"></p> <figcaption class="txt_caption default_figure"> [현장클릭] 착시현상 방치한 'ISMS-P 누리집' </figcaption> </figure> <div contents-hash="e9e0e6842372223a27f5900b2912796a5d0d3080d19b9b25c68d262960b794dc" dmcf-pid="XYaqMdmjae" dmcf-ptype="general"> <br>[파이낸셜뉴스] 1종 운전면허를 가진 사람은 대형 버스·승용차 모두 운전할 수 있지만, 2종 면허 소지자는 대형 버스를 몰 수 없다. 그런데 만약 모두 '1종' 면허를 얻은 것처럼 면허증이 구성돼 있다면 어떨까. </div> <p contents-hash="c64e2f27dea3bcfd4eac6f7da8d6d602fb983c2b16d4ac38335aae49d8634fff" dmcf-pid="ZGNBRJsAAR" dmcf-ptype="general">지난 11일 미국 스포츠웨어 기업 언더아머는 일부 고객 개인정보 유출 사고가 발생했다고 밝혔다. 기자는 언더아머의 보안 인증 현황을 확인하기 위해 한국인터넷진흥원(KISA)이 관리하는 'ISMS-P 인증 누리집'을 살펴보던 중 착시현상을 마주했다. </p> <p contents-hash="5e38c125639afe76017f052d02b0a29d606df6b39dfb30e07dd378184e77de1c" dmcf-pid="5XAKdnIkNM" dmcf-ptype="general">언더아머는 정보보호 관리체계 인증(ISMS)을 받은 기업인데, 누리집 화면엔 마치 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 기업처럼 보였다. ISMS-P는 ISMS 충족 기준을 넘어 개인정보보호 관련 21개 기준이 더 필요한 인증으로 ISMS와는 차원이 다르다. </p> <figure class="figure_frm origin_fig" contents-hash="d9cc40567ccc52150c349cef225696ab9aae6b30e2dfb839f99c9756283e9015" dmcf-pid="1Zc9JLCEax" dmcf-ptype="figure"> <p class="link_figure"><img alt="한국인터넷진흥원(KISA)이 운영하는 'ISMS-P 누리집' 갈무리. 삼성전자와 언더아머 모두 해당 누리집에 게재돼있으며 게시판 제목 역시 'ISMS-P 인증서 발급 현황'이다. 다만 삼성전자는 ISMS-P 인증을, 언더아머는 ISMS 인증을 취득했다. 사진=최혜림 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/12/fnnewsi/20260312165928143qali.jpg" data-org-width="800" dmcf-mid="Y6jbeiOcji" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/12/fnnewsi/20260312165928143qali.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 한국인터넷진흥원(KISA)이 운영하는 'ISMS-P 누리집' 갈무리. 삼성전자와 언더아머 모두 해당 누리집에 게재돼있으며 게시판 제목 역시 'ISMS-P 인증서 발급 현황'이다. 다만 삼성전자는 ISMS-P 인증을, 언더아머는 ISMS 인증을 취득했다. 사진=최혜림 기자 </figcaption> </figure> <div contents-hash="88fc2f17e2fe37c0741ea515a80506ccbd55eabac026fa7ba3274a5ef9e4fc7e" dmcf-pid="t5k2iohDkQ" dmcf-ptype="general"> 하지만 'ISMS-P 누리집'에 ISMS 인증 기업과 ISMS-P 인증 기업이 혼재돼 있었다. ISMS기업과 ISMS-P기업을 구분하는 유일한 방법은 인증번호 뿐이다. 기자가 누리집 화면은 그대로 캡처해 기사에 게재하자 개보위는 "언더아머가 ISMS-P 인증을 받은 것처럼 오해될 소지가 있다"며 난색을 표했다. 정부 화면 자체에 혼동 여지가 있음을 밝힌 셈이다. </div> <p contents-hash="94bb148e06de115a97fd61c2e2067707eebfd816ef46df9242993c089f59d9b1" dmcf-pid="F1EVnglwNP" dmcf-ptype="general">ISMS는 과기정통부 소관, ISMS-P는 개보위 소관이지만 인증현황을 공개하는 'ISMS-P' 누리집은 과기정통부 산하인 한국인터넷진흥원(KISA)이 운영중이다. KISA가 사이트를 이원화하지 않는 데에는 운영 비용, 홈페이지 관리 효율성 등 애로사항이 작용했을 것이다. 삼성전자처럼 홈페이지 서비스는 ISMS 인증을, 삼성월렛 서비스는 ISMS-P 인증을 받는 등 한 기업이 여러 인증을 보유한 사례도 있어 모아서 관리하려는 취지도 이해할 수 있다. </p> <p contents-hash="700c6825097445ee702fa2d7bbad65af938fc26c2768591af42ae13759fe797c" dmcf-pid="3tDfLaSrA6" dmcf-ptype="general">다만 인증 유형을 명확히 구분하는 장치는 필요하다. 가령 누리집 명칭을 'ISMS·ISMS-P 인증 누리집'으로 바꾸고, ISMS 인증만 받은 기업의 카테고리는 따로 만드는 것이다. </p> <p contents-hash="cbaf169ca7d8013834f622b974c1419a0c38d89b29477bfd557b63029baf5653" dmcf-pid="0Fw4oNvmg8" dmcf-ptype="general">개보위의 대응 방식에도 아쉬움이 남는다. ISMS-P 인증을 소관 부처인 만큼, 언론에 오인 가능성을 우려하기에 앞서 KISA와 함께 누리집 혼선을 줄이는 방법을 논의하는 것이 먼저다. 정부 누리집은 국민 누구나 혼동 가능성 없이 쉽게 이해할 수 있도록 만들어져야 한다. </p> <p contents-hash="cfc1bcf0d1f91974eab9ade7e05ef9a56e6c296396f8195cb51e23288d978aa1" dmcf-pid="p3r8gjTso4" dmcf-ptype="general">ISMS·ISMS-P 인증 제도 개선 방안에 대한 최종 계획도 시급하다. 과기정통부와 개보위는 지난해 12월 인증 취소와 심사 강화 방안 등을 마련하기 위해 합동 태스크포스(TF)를 가동하겠다고 밝힌 바 있다. 이달 내로 최대한 빠르게 확정안을 발표하겠다는 입장이지만, 3개월이 지나는 사이 인증 기업의 유출 사고는 계속 터지고 있다.</p> <p contents-hash="8e09be3843f259bb02dc583e069a19f612b7521bcb7a1b929d1e6e46aca8bac6" dmcf-pid="U0m6aAyOcf" dmcf-ptype="general">kaya@fnnews.com 최혜림 기자</p> </section> </div> <p class="" data-translation="true">Copyright © 파이낸셜뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 "출세했다" 잔나비 최정훈, 생일 클래스가 우주대스타급 03-12 다음 머리카락 굵기 이하 반응도 포착…동아대, 자동화 SECM 기술 개발 03-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
