선수금 기준 상조업계 1위인 프리드라이프와 2위인 보람상조는 수백만 명의 회원과 조 단위 선수금을 관리하는 대형 사업자임에도, 정부가 운영하는 정보보호 관리체계(ISMS) 인증을 받지 않은 것으로 확인됐다. 

업계 전체 상조 가입자가 1000만 명에 육박하고 선수금 규모가 10조 원을 넘는 상황에서, 시장을 주도하는 상위 사업자들조차 보안 인증과 정보보호 공시 의무의 사각지대에 놓여 있다는 지적이 나온다.

최근 교원라이프를 포함한 교원그룹 8개 계열사가 랜섬웨어 공격으로 정부 조사를 받으면서 상조업계의 정보보호 취약성은 수면 위로 떠올랐다. 상조업은 계약 정보, 결제 정보, 가족관계, 사망 관련 정보 등 민감한 개인정보를 장기간 축적하는 산업이지만, 현행 법체계에서는 정보통신서비스업으로 분류되지 않아 핵심적인 정보보호 규제에서 제외되어 왔다.

18일 이준석 개혁신당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 웅진프리드라이프·교원라이프·보람상조개발·더케이예다함·소노스테이션 등 상조회사 상위 5곳 가운데 ISMS 인증을 취득한 곳은 단 한 곳도 없었다. 

ISMS는 정보보호 정책, 접근 통제, 침해 사고 대응, 개인정보 보호 절차 등을 종합적으로 심사하는 제도로, 정보통신서비스 매출 100억 원 이상 또는 일평균 이용자 수 100만 명 이상 기업에는 의무적으로 적용된다. 그러나 상조회사는 업종 분류상 해당 대상에서 빠져 있다.

정보보호 공시 의무 역시 적용되지 않는다. 정부는 정보통신망을 이용해 정보 제공이나 매개를 하는 기업에 대해 정보보호 투자액과 전담 인력, 내부 점검 현황을 공시하도록 하고 있지만, 상조회사들은 이 규제에서도 제외돼 있다. 이로 인해 상조업계 상위 사업자들의 실제 보안 투자 수준이나 대응 체계를 외부에서 검증할 방법이 없는 상태다.

재무제표를 보면 이들 기업의 규모는 단순 서비스업을 넘어선다. 보람상조라이프의 2024년 연결감사보고서에 따르면, 연간 매출은 약 243억 원이지만 부금선수금은 약 3995억 원에 달한다. 

이는 아직 장례 등 약정 서비스가 이행되지 않은 고객 자금으로, 회사가 장기간 관리해야 하는 금액이다. 매출 규모의 수십 배에 이르는 자금이 장기간 회사에 머무는 구조다. 같은 기간 이연모집수당도 2000억 원을 넘어서, 영업 확대 과정에서 선지급된 비용 부담 역시 상당한 것으로 나타난다.

프리드라이프의 규모는 더 크다. 2024년 연결감사보고서 기준 프리드라이프의 상조 부금선수금 잔액은 약 2조5천억 원으로 집계됐다. 

연간 납입액만 수천억 원에 이르며, 계약 해지와 행사 집행 이후에도 재무제표상 조 단위 선수금이 상시적으로 남아 있다. 이는 프리드라이프가 장기간에 걸쳐 막대한 소비자 자금을 관리하는 사업자임을 보여준다.

보안 업계에서는 이처럼 수천억~수조 원대 선수금과 대규모 개인정보를 동시에 관리하는 산업 구조 자체가 높은 보안 리스크를 내포하고 있다고 지적한다. 현금 흐름이 크고 민감 정보가 집중된 기업은 랜섬웨어 공격의 주요 표적이 될 수밖에 없다는 것이다.

이에 대해 보람상조와 프리드라이프는 같은 취지의 입장을 밝혔다. 두 회사는 ISMS 인증이 포털·쇼핑몰·게임사 등 정보통신서비스 제공자를 대상으로 한 제도로, 상조업은 현행 법령상 의무 대상이 아니라고 설명했다.

프리드라이프는 법적 의무 여부와 관계없이 고객 정보 보호를 최우선 경영 과제로 인식하고 있으며, 최근 침해 사고 사례를 계기로 ISMS 인증 취득을 포함한 정보보호 체계에 대한 대외적 검증 방안을 검토 중이라고 밝혔다. 

보람상조는 

ISMS 인증이 법적 의무 대상은 아니라고 설명하면서도, 최근 보안 강화 추세에 따라 인증 취득을 검토하고 있으며 랜섬웨어 등 침해 사고에 대비한 내부 보안 체계를 운영 중이라고 밝혔다.

상조업은 이미 수백만 명의 개인정보와 조 단위 자금을 동시에 관리하는 거대 산업으로 성장했다. 

그러나 정보보호 체계만큼은 여전히 ‘의무가 아니다’라는 이유로 제도 밖에 머물러 있다. 업계 1·2위 사업자들마저 보안 인증과 공시에서 벗어나 있는 현실을 두고, 선수금 규모에 걸맞은 정보보호 기준을 마련해야 한다는 요구가 커지고 있다.