17일 국회 과학기술정보방송통신위원회 소속 더불어민주당 박홍근 의원이 한국인터넷진흥원(KISA)로부터 제출받은 '개인정보유출 신고 접수현황(16~17년)'을 보면, 7개 기업은 ISMS 인증을 받고도 개인정보 유출사고를 냈다.
개인정보가 유출된 기업은 SK텔레콤, 한국방송공사(KBS), 한국피자헛, 이스타항공 주식회사, 삼성전자서비스 등이고, 유출 경로로는 ‘해킹’이 26건으로 가장 많았다. 이어 ‘홈페이지 리뉴얼에 따른 사고’가 8건, ‘내부 직원에 의한 유출’이 5건으로 집계됐다. 나머지 29건은 사고발생 자체를 인지하지 못했으며, 유출 경로 파악도 사실상 불가능했다.
특히 SK텔레콤과 LG유플러스의 경우 내부직원이 흥신소에 개인정보를 불법으로 유출한 것으로 드러났다. 국민 대다수의 개인정보를 보유한 통신 대기업의 개인정보 관리가 매우 허술한 것을 보여주는 대목이다.
또 한번 인증을 받으면 개인정보 유출사고가 발생하더라도 인증이 취소되지 않으며, 인증기업이 개인정보를 유출했음에도 불구하고 아무런 제재도 없이 또 다시 인증을 내주는 것으로 파악됐다.
박 의원은 "기업 보안체계를 강화하기 위해 국가 보안인증 제도를 도입했음에도 불구하고, 인증을 받은 기업들에서 개인정보유출 사고가 발생하는 사례가 반복되고 있다"며 "개인정보 유출 등 보안사고가 발생한 기업에 대해서는 인증을 취소하고, 재인증에도 일정 정도 제약을 두는 등 관리를 엄격히 할 필요가 있다"고 지적했다.