쿠팡, ISMS-P 달고도 개인정보 '줄줄'…제도 실효성 논란

ISMS-P 인증 취득 기업서 잇단 유출 사고…상시 검증 체계 없어

박지혜 기자 | pjh@newsprime.co.kr | 2025.12.02 15:44:41

[프라임경제] 쿠팡이 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득하고도 3370만건 규모의 개인정보가 유출되면서 제도의 실효성 논란이 커지고 있다. 쿠팡뿐만 아니라 인증을 받은 기업에서 유출 사고가 반복돼 인증 제도 보완의 필요성이 제기된다.

쿠팡 본사 전경. ⓒ 연합뉴스

2일 업계에 따르면 쿠팡은 최초 ISMS-P 인증 획득 이후 지난해 3월 갱신을 완료했으나, 최근 3370만건 규모의 개인정보가 유출되는 사고가 발생했다.

ISMS-P 인증은 과학기술정보통신부(이하 과기정통부)와 개인정보보호위원회(개인정보위)가 공동으로 운영하는 국내 유일의 정보보호 및 개인정보보호 관리체계 인증제도다. 2018년 과기정통부의 '정보보호 관리체계 인증(ISMS)'과 개인정보위의 '개인정보보호 관리체계 인증(PIMS)'을 통합해 만들었다.

쿠팡은 2021년과 2024년 두 차례에 걸쳐 ISMS-P 인증을 취득했으나, 총 네 차례의 개인정보 유출 사고가 일어났다.

2021년 10월 애플리케이션(앱) 업데이트 과정에서 테스트가 미흡해 첫 유출 사고가 발생했고, 같은 해에 쿠팡이츠 배달원 13만5000명의 개인정보가 유출됐다.

2023년 12월에는 판매자 전용 시스템 '윙(Wing)'에서 주문자·수취인 정보 약 2만2000건이 노출됐으며, 올해에는 3370만개의 고객 계정이 외부로 유출됐다.

쿠팡뿐만 아니라 다른 ISMS-P 인증 기업에서도 개인정보 유출 사고가 끊이지 않고 있다.

최근 대규모 해킹사고를 겪은 SK텔레콤(017670)·KT(030200)·예스24·롯데카드·넷마블(251270) 모두 ISMS-P 인증기업이다.

국회 정무위원회 소속 한창민 사회민주당 의원이 개인정보위로부터 제출받은 자료에 따르면 개인정보위가 장관급 기구로 격상된 2020년 이후 ISMS-P 인증을 받은 기업 27곳에서 34건의 개인정보 유출 사고가 발생했다.

한 의원은 "국정감사에서도 지적했듯이 개인정보 유출 사전 예방 제도로서 ISMS-P 인증의 효과에 강한 의구심이 든다"며 "개인정보위는 인증 제도를 보완할지, 새로운 예방 제도를 도입할지 결단해야 한다"고 강조했다.

현재 ISMS-P 인증 유효기간은 3년이다. 이 기간에 기업은 매년 사후 심사를 받지만, 상시적인 검증 체계가 없어 무용지물이라는 지적이 나온다. 심사 직후 발생하는 새로운 취약점에는 대응력이 떨어질 수밖에 없다.

아울러 문서와 절차 중심 평가 비중이 커 '서류·체크리스트 중심 심사'에 치우쳐 있다는 비판이 지속적으로 제기돼 왔다.

이에 개인정보위는 인증 제도 개편을 통해 기존의 서류·체크리스트 중심 심사를 현장 점검 중심으로 전환하겠다고 밝혔다.

송경희 개인정보위 위원장은 지난달 5일 서울 종로구 정부서울청사에서 열린 '출입기자단 브리핑'에서 "그동안 서면 심사에 그쳤었는데 현장 심사, 사후 심사 등을 추가하고 문제가 있는 경우에는 인증을 취소하는 등 적극적으로 조치를 취하겠다"고 말했다.