- 고객정보 유출사고 늑장보고가 단초
[뉴스핌=양창균 기자] KT가 어렵게 따낸 '개인정보보호 관리체계(PIMS)' 인증이 취소될 위기에 처했다. 한국인터넷진흥원(KISA)이 KT에 부여한 'PIMS' 인증 취소절차에 들어갔다.
KISA는 이달 중 인증위원회를 열고 관련안건을 처리할 예정이다.
10일 방통위와 KISA에 따르면 KISA는 KT의 고객정보 870여만명 유출사고 뒤 실태조사를 통해 확인한 결과 PIMS 인증취소 사유가 발생했다.
KISA와 방통위는 실태조사반을 구성, 지난달 26일부터 이달 3일까지 KT의 개인정보보호 관리체계를 점검했다. 이 과정에서 KT가 PIMS 인증 취소에 해당하는 중대한 사유가 발생했다.
KISA 관계자는 "방통위와 함께 구성한 KT 개인정보보호 관리체계 실태조사반에서 여러가지 문제점을 발견하고 관련자료를 확보했다"며 "이는 KT에 부여한 PIMS 인증취소에 해당하는 사안"이라고 말했다.
특히 그는 "관련법규에 따라 이달 중 인증위원회를 열고 KT의 PIMS 인증취소 안건을 상정할 방침"이라며 "인증위원회에서 최종 논의한 뒤 PIMS인증 취소여부를 결정하게 된다"고 덧붙였다.
인증위원회는 관련분야 대학교수 10명으로 구성하고 있다. 이번 인증위원회에는 3분의 2 이상의 참석인원(7명)에 과반수 찬성으로 취소가 무효화 될 수 있다.
KT의 취소사유는 개인정보보호 사후관리와 부정한 방법으로 PIMS 인증을 받았다는 것.
현행 정보보호관리체계 인증 등에 관한 고시에서는 KT의 개인정보보호 관리체계상 사후관리가 미흡했다는 판단이고 정보통신망법에서는 제47조의 2(정보보호 관리체계 인증기관의 지정취소 등)가 해당된다는 게 KISA의 설명이다.
정보통신망법 위반은 KT가 거짓이나 부정한 방법으로 PIMS 인증을 받은 의혹이다.
이는 KT가 지난달 13일 해킹으로 인한 개인정보유출 사실을 인지하고 경찰에 신고했으나 방통위와 KISA에는 5일이 지난 18일에 관련내용을 보고한 것. 이날은 KT가 KISA로부터 PIMS 인증을 받는 날이었다.
KISA는 "KT가 PIMS인증을 받기 위해 의도적으로 개인정보유출 사실을 숨긴 정황이 파악됐다"며 "이는 정보통신망법을 위반한 것으로, 취소사유에 해당된다"고 지적했다.
앞서 KT는 지난달 18일 KISA로부터 PIMS 인증을 받았다.
KT측은 10일 고객정보 보안강화대책을 발표하면서 이번 사고 책임으로 PIMS 인증을 반납할 계획은 없느냐는 기자들 질문에 "이미 지난 3월에 (인증 심사를) 받았던 것"이라면서 "이번 일과는 상관이 없다"고 밝혔다. 자진 반납의사가 없다는 입장이다.
PIMS란 방송통신위원회와 KISA가 공동으로 만든 개인정보보호관리체계의 인증제도이다.
PIMS 구성요소인 개인정보 관리과정, 개인정보 보호대책, 개인정보 생명주기 3개 분야의 118개 통제 항목, 325개의 세부 점검 사항에 대한 검증을 통해 일정 수준 이상의 점수를 획득한 기업에게만 부여된다. 신청부터 인증까지 최소 6개월이상 소요된다.
지금까지 PIMS인증을 받은 기업은 SK텔레콤과 LG유플러스 엔씨소프트 NHN등 16개에 불과하다. PIMS를 인증 받은 기업의 경우 개인정보 유출사고시 과징금 경감 혜택도 주어진다.
▶글로벌 투자시대의 프리미엄 마켓정보 “뉴스핌 골드 클럽”
[뉴스핌 Newspim] 양창균 기자 (yangck@newspim.com)