▲개인정보보호 관리체계(PIMS) 인증 마크
KISA
공교롭게 KT는 지난달 13일 해킹 사실을 처음 인지하고 경찰에는 바로 신고했지만 방통위와 KISA에는 5일이 지난달 18일에야 이 사실을 알렸다. 사고 신고가 하루 정도만 빨랐어도 PIMS 인증 자체가 무산될 수도 있는 상황이었다. KT가 고의로 신고 시점을 늦춘 게 아니냐는 의혹을 살 만한 대목이다. 그나마 경찰 발표로 KT 개인정보유출 사실이 언론과 일반에 알려진 건 그로부터 열흘이 지난 7월 말이었다.
방통위와 KISA에서도 PIMS 인증 직후 KT 해킹 사고 사실을 접하고 크게 당황한 것으로 알려졌다. 이 때문에 KT는 물론 방통위, KISA 모두 PIMS 인증 사실을 쉬쉬하는 촌극이 벌어졌다. 9일 현재 KISA 홈페이지에는 SK텔레콤, LG유플러스, NHN, 이베이, 엔씨소프트 등 16개 PIMS 인증기업 명단이 올라와 있지만 KT는 빠져있다.
KT에선 단순한 우연의 일치라고 주장한다. KT 홍보팀 관계자는 "경찰에는 해킹 사실만 신고해도 되지만 KISA에는 개인정보 유출 규모와 항목을 자세히 파악해서 신고해야 하기 때문에 시간이 필요했다"면서 "5일 안에 신고하도록 한 규정은 충족했다"고 밝혔다. 하지만 SK컴즈의 경우 지난해 7월 네이트-싸이월드 3500만 고객 정보 해킹 사고 직후 경찰뿐 아니라 방통위와 KISA 등에도 바로 알렸다.
방통위 관계자는 "PIMS 인증은 KISA에서 민간 자율로 이뤄지기 때문에 방통위가 관여하지 않는다"면서도 "개인정보유출 사고는 PIMS 인증에 중요한 영향을 미칠 수 있는 요소이기 때문에 인증 과정에 문제가 없었는지 조사할 계획"이라고 밝혔다.
KT "3월에 보안조치 통보 끝나"... KISA "7월에 재심사"