![[현장클릭] 착시현상 방치한 'ISMS-P 누리집'](https://image.fnnews.com/resource/media/image/2026/03/12/202603121823438947_s.jpg)
지난 11일 미국 스포츠웨어 기업 언더아머는 일부 고객 개인정보 유출 사고가 발생했다고 밝혔다. 기자는 언더아머의 보안 인증 현황을 확인하기 위해 한국인터넷진흥원(KISA)이 관리하는 'ISMS-P 인증 누리집'을 살펴보던 중 착시현상을 마주했다.
언더아머는 정보보호 관리체계 인증(ISMS)을 받은 기업인데, 누리집 화면엔 마치 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 취득한 기업처럼 보였다. ISMS-P는 ISMS 충족 기준을 넘어 개인정보보호 관련 21개 기준이 더 필요한 인증으로 ISMS와는 차원이 다르다.
하지만 'ISMS-P 누리집'에 ISMS 인증 기업과 ISMS-P 인증 기업이 혼재돼 있었다. ISMS기업과 ISMS-P기업을 구분하는 유일한 방법은 인증번호 뿐이다. 기자가 누리집 화면을 그대로 캡처해 기사에 게재하자 개보위는 "언더아머가 ISMS-P 인증을 받은 것처럼 오해될 소지가 있다"며 난색을 표했다. 정부 화면 자체에 혼동 여지가 있음을 밝힌 셈이다.
ISMS는 과기정통부 소관, ISMS-P는 개보위 소관이지만 인증현황을 공개하는 'ISMS-P' 누리집은 과기정통부 산하인 KISA가 운영중이다. KISA가 사이트를 이원화하지 않는 데에는 운영 비용, 홈페이지 관리 효율성 등 애로사항이 작용했을 것이다. 삼성전자처럼 홈페이지 서비스는 ISMS 인증을, 삼성월렛 서비스는 ISMS-P 인증을 받는 등 한 기업이 여러 인증을 보유한 사례도 있어 모아서 관리하려는 취지도 이해할 수 있다.
다만 인증 유형을 명확히 구분하는 장치는 필요하다. 가령 누리집 명칭을 'ISMS·ISMS-P 인증 누리집'으로 바꾸고, ISMS 인증만 받은 기업의 카테고리는 따로 만드는 것이다.
개보위의 대응 방식에도 아쉬움이 남는다. ISMS-P 인증 소관 부처인 만큼, 언론에 오인 가능성을 우려하기에 앞서 KISA와 함께 누리집 혼선을 줄이는 방법을 논의하는 것이 먼저다. 정부 누리집은 국민 누구나 혼동 가능성 없이 쉽게 이해할 수 있도록 만들어져야 한다.
과기정통부와 개보위는 지난해 12월 인증 취소와 심사 강화 방안 등을 마련하기 위해 합동 태스크포스(TF)를 가동하겠다고 밝힌 바 있다. 이달 내로 최대한 빠르게 확정안을 발표하겠다는 입장이지만, 3개월이 지나는 사이 인증 기업의 유출 사고는 계속 터지고 있다.
kaya@fnnews.com 최혜림 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지