금융위원회가 관리·감독하는 비영리 사단법인인 금융보안원(FSI)이 해킹 사고 발생 이틀 전 롯데카드에 국내 최고 수준으로 평가받는 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증을 수여한 것으로 드러났다. 인증 수여 직후 대규모 고객 정보가 유출된 만큼 인증 체계의 부실과 신뢰성 논란을 피하기 어렵게 됐다.
금융보안원은 지난달 12일 롯데카드에 ISMS-P 인증을 수여했다. 이 인증은 개인정보보호법 등에 근간을 둔 제도로 정보보호 및 개인정보보호 관리체계와 관련해 국내에서 거의 유일하게 공적 성격을 띤다. 지난달 29일 기준 해당 인증을 받은 국내 금융 기관은 48곳이다. 하지만 롯데카드가 해당 인증을 받은 지 이틀 후인 지난달 14일부터 200GB(기가바이트) 규모의 고객 데이터가 유출되는 사고가 발생해 신뢰성에 의문이 제기된다.
2015년 설립된 금융보안원은 국내에서 유일하게 정부 부처와 업무를 수행하는 금융 보안 전문기관이다. 금융감독원 등과 함께 롯데카드 해킹 사고 조사에도 참여했다.
업계에서는 금융보안원이 ISMS-P 심사 시 롯데카드의 보안 체계를 면밀히 파악하지 못했던 것 아니냐는 의혹이 제기된다. ISMS-P 인증을 받은 회사에 과태료 경감 혜택 등을 주는 만큼 더 엄격히 관리해야 한다는 지적도 있다.
금융보안원 관계자는 “롯데카드의 ISMS-P 인증과 관련해 인증 취소는 고려하고 있지 않다”며 “개인정보보호위원회가 롯데카드가 법을 위반했는지, 위반했다면 그 사실이 얼마나 중대한지 등을 판단하면 그 조치를 보고 인증 취소를 논의할 수 있다”고 설명했다.
장은현 기자 eh@kmib.co.kr