롯데카드는 지난 8월 12일 금융보안원(FSI)으로부터 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 획득했다. 그러나 불과 이틀 뒤 첫 이상 징후가 포착됐고, 회사는 8월 31일 금융감독원에 약 1.7GB 규모의 내부 데이터 유출 정황을 보고했다. 서버에서는 복수의 웹셸이 발견됐으며, 이미 2017년에 패치된 취약점이 악용됐을 가능성도 지적된다. 결국 ‘인증 직후에도 해킹은 발생할 수 있다’는 불편한 진실이 다시 드러났다.

ISMS-P는 기업이 수립·운영하는 보안·개인정보보호 관리체계가 심사 시점에 기준에 적합한지 확인하는 제도다. 

과기정통부와 개인정보보호위원회가 제도 운영 주체이며, 한국인터넷진흥원(KISA)과 금융보안원이 인증기관으로 지정돼 있다. 

KISA 역시 안내서에서 “ISMS-P 인증은 100% 안전을 보장하지 않는다”고 명시한다. 인증은 완벽한 방어의 보증서가 아니라, 최소한의 관리체계를 갖췄음을 보여주는 ‘출발선’일 뿐이다.

통신 인프라를 보유한 SK텔레콤조차 예외는 아니었다. 올해 초 SKT에서는 USIM 인증키·IMSI 등 민감 정보가 대규모로 유출됐고, 과기정통부 조사 결과 다수 서버에서 백도어와 웹셸이 발견됐다. 

기본적인 패치 관리와 내부망 접근 통제가 부실했던 사실도 드러나면서, 개인정보보호위원회는 1,348억 원의 과징금을 부과했다. 

이 사건은 ‘인증 취득’보다 상시 취약점 관리와 거버넌스, 그리고 최고경영층의 직접 관여가 훨씬 중요하다는 교훈을 남겼다.

전문가들도 비슷한 경고를 내놓고 있다. 고려대 김승주 교수는 “망분리나 폐쇄망 정책은 과도한 안도감을 줄 뿐이며, 실제 위협은 공급망 공격과 장기 잠복형 침투에서 발생한다”며 “따라서 인증만으로는 충분하지 않고, 사후 점검과 책임 구조까지 제도적으로 설계돼야 한다”고 강조했다. 

실제로 GS샵·올리브영 등 다른 ISMS-P 인증 기업에서도 사고가 이어졌고, 해외 학계 역시 금융권 의무 보안 프로그램이 새로운 취약점을 만들 수 있다는 점을 지적한 바 있다. GDPR Art.42 등 국제 규범도 “인증은 책임을 감면하지 않는다”는 점을 명확히 하고 있다.

전문가들은 이번 사건이 단순히 한 기업의 관리 소홀 문제가 아니라, 국내 인증 제도의 구조적 한계를 드러낸 것이라고 지적한다. 

실제로 SK텔레콤에서는 올해 초 USIM 인증키 등 민감 정보가 대규모로 유출돼 과징금이 부과된 바 있고, GS샵·올리브영 등 다른 ISMS-P 인증 기업에서도 사고가 이어졌다. 

해외 학계에서도 유사한 경고가 나왔다. 고려대 김승주 교수팀이 국제 학회 USENIX Security 2025에서 발표한 논문은, 금융권에서 의무화된 보안 프로그램이 오히려 새로운 취약점을 만들 수 있다고 지적했다.

이런 배경 속에서 업계 전문가들은 공통적으로 다음과 같은 개선 방향을 제시한다. 우선, 인증 취득을 경영 성과로 삼는 관행을 버리고 실제 운영 지표, 예컨대 사고 대응 속도와 패치 적용 시간을 KPI로 삼아야 한다는 것이다. 

또한 인증 이후에도 분기마다 모의 해킹을 실시하고, 월간 취약점 점검과 반기 레드팀 훈련을 정례화해 사후 모니터링을 제도화해야 한다.

공급망 보안도 빼놓을 수 없다. 협력업체, 클라우드 사업자, 결제 대행사 등을 겨냥한 공격이 늘고 있기 때문에, 소프트웨어 자재명세(SBoM) 관리와 접근권한·로그 보존 체계를 계약 단계에서부터 명시해야 한다는 목소리가 높다.

특히 민감도가 높은 데이터는 별도 구역에서 하드웨어 보안 모듈(HSM)을 활용해 다중 키로 분산 관리하는 방식이 요구된다. 보안 도구 자체에 대한 검증도 필요하다. 버그바운티와 업데이트 체인 검증을 통해 의무 보안 프로그램이 공격 통로로 악용되지 않도록 해야 한다는 것이다.

마지막으로, 사고 대응 과정의 투명성이 강조된다. 전문가들은 사고를 인지한 뒤 72시간 내에 공지·신고하고, 피해 보상 기준과 로그를 공개하는 절차를 업계 공통 규약으로 격상할 필요가 있다고 입을 모은다. 더불어 이사회 산하 리스크위원회에 외부 보안 전문가를 포함시키고, CISO에게 독립성과 예산권을 보장하는 거버넌스 개선도 함께 요구된다.

전문가들은 제도 개선을 위해 정부와 관계 기관이 답해야 할 구체적인 과제들도 지적한다. 우선 인증기관과 심사기관의 경우, 심사 과정에서 발견된 취약점이 실제로 얼마나 개선되고 있는지를 어떻게 추적할 것인지가 관건이다. 만약 기업이 개선을 이행하지 않을 경우, 인증 취소나 정지 같은 실효성 있는 조치가 마련돼 있는지에 대한 의문도 제기된다.

정책을 총괄하는 과학기술정보통신부와 개인정보보호위원회에도 책임이 돌아간다. 현행 제도에는 과징금을 감경해주는 장치가 있는데, 이것이 오히려 인증 제도를 형식적인 절차로 만드는 것은 아닌지 점검이 필요하다는 것이다. 동시에 보안 사고가 발생했을 때 피해자 구제를 위한 구상권이나 분쟁조정 체계를 어떻게 구축할 것인지도 과제로 꼽힌다.

금융당국인 금융감독원 역시 자유롭지 않다. 금융권 전체에 걸쳐 침해지표와 보고 체계를 표준화하는 것이 필요하고, 오래된 시스템에서 반복적으로 나타나는 이른바 ‘레거시 취약점’에 대해서는 별도의 제재 기준을 확립해야 한다는 목소리가 높다.

또한 금융보안원에는 보다 금융 특화된 점검 항목과 관제 기능을 인증 심사와 직접 연계하는 작업이 요구된다. 인증 절차가 단순히 문서 심사로 끝나는 것이 아니라, 실제 관제와 사고 대응 체계와 연결돼야 현장에서 실질적인 효과를 낼 수 있다는 지적이다.