지난 8월 12일, 롯데카드는 금융보안원(FSI)으로부터 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 획득했다고 대대적으로 알렸다. 개인정보 보호와 정보보호 관리 역량을 공식적으로 인정받았다는 의미였다. 그러나 불과 이틀 뒤인 롯데카드는 서버 악성코드 감염과 데이터 유출 정황(약 1.7GB)을 확인했다고 1일 발표했다. 인증 직후 곧바로 해킹 사고가 발생하면서, '인증의 실효성'을 둘러싼 논란이 커지고 있다.

금융보안원은 2015년 금융권 전담 사이버보안 기관으로 출범했다. 금융회사들이 ISMS-P 같은 보안 인증을 획득하고, 취약점 점검·관제를 받는 창구다. FSI는 금융보안 컨트롤타워를 자임하며 통합보안관제, 침해사고 분석, 보안 인증, 연구와 교육 등을 담당한다. 즉, 롯데카드의 이번 ISMS-P 인증도 금융보안원이 '롯데카드가 일정한 보안 관리 체계를 갖췄다'는 최소 기준을 확인해준 것이다.

ISMS-P는 단순히'해킹을 막는다'는 보증이 아니라, 기업이 관리 체계와 절차를 갖췄는지를 점검하는 제도다. 보안 정책, 접근 통제, 개인정보 처리 단계(수집·보관·폐기)까지 관리 기준을 충족했음을 확인하는 것이다. 따라서 이는 법적·제도적으로 금융소비자 보호를 위한 최소 안전망이라 할 수 있다. 그러나 인증은 “심사 시점의 기준 충족”을 의미할 뿐, 실시간 보안 방패막이 아니며 공격 자체를 차단하지도 못한다.

롯데카드는 과거에도 기본 ISMS 인증을 보유하고 있었다. 다만 이번에 처음으로 개인정보보호까지 포괄하는 ISMS-P를 새로 획득한 것이다. 문제는 인증 직후 곧바로 해킹 사고가 터졌다는 점이다. 이는 곧 인증 제도가 ‘절차 준수 확인서’에 머물 뿐, 실효적 보안 역량을 담보하지 못한다는 비판을 불러왔다. 금융당국은 현장검사에 착수했으며, 관리 소홀에 대한 제재 가능성까지 언급했다.

롯데카드만의 문제가 아니다. SK텔레콤은 ISMS-P 인증을 보유한 상태에서 유심 서버가 해킹돼 IMSI, 인증키 등 중요 정보가 대량 유출됐다. GS샵, 올리브영 역시 크리덴셜 스터핑(도용 로그인 시도) 공격으로 수십만 건의 개인정보 유출 사고를 겪었다. 이처럼 인증을 보유한 기업도 해킹에 무방비일 수 있다는 사실은 이미 여러 차례 입증됐다.

결국 보안 인증은 출발점이지 결승점이 아니다. 인증은 기업이 '보안 관리 체계를 구축했다'는 증명서일 뿐, 해킹 방어 능력을 보장하지 않는다. 따라서 금융권에 요구되는 건 실시간 위협 모니터링 강화, 침해 대응 훈련 상시화, 취약점 점검 주기 단축, 사고 발생 시 즉각 공개와 보상 절차 확립 등이다. 전문가들은 “인증 취득을 대외 신뢰도 제고 수단으로 활용하는 데 그치면, 또 다른 롯데카드 사태는 반복될 수밖에 없다”고 경고한다.

롯데카드 해킹 사건은 금융기관이 보안 인증을 받는 것만으로는 소비자 신뢰를 확보할 수 없다는 사실을 드러냈다. 인증은 '보안 관리 체계를 갖췄다'는 최소한의 기준일 뿐이다. 금융소비자와 시장이 요구하는 것은 인증서가 아니라, 사고를 막아내는 실제 보안 역량과 대응 체계다.