"정보유출 대안? CEO 직속 통제·암호화 시급"

정보유출 무방비국가 대한민국/ 전문가 3인 지상대담

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
이번 카드3사 정보유출 사태를 바라보는 전문가들의 시각은 어떨까. 현 사태 수습에 매몰돼 근본 원인을 진단하고 대안을 마련하는 일을 소홀히해서는 안 된다는 게 전문가들의 공통된 지적이다. 그렇지 않으면 데자뷰처럼 또다시 이러한 상황이 발생할 수 있기 때문이다.

<머니위크>는 보안 전문가 3인을 통해 현 사태를 진단하고 '개인정보 무방비국가'라는 오명을 벗기 위한 해결책을 지상 중계한다. 진단 및 대안 모색에는 손동식 윈스테크넷 침해사고대응센터장, 이호웅 안랩 시큐리티대응센터장, 정태명 성균관대학교 소프트웨어학과 교수(가나다 순)가 함께 했다.
"정보유출 대안? CEO 직속 통제·암호화 시급"

- 카드사의 고객 정보유출 사태가 반복되다 결국 1억여건의 정보가 털리는 지경에 이르렀다. 우리나라만 이런 것일까? 왜 이럴까?

▶ 정태명 교수(이하 정) =
정보 유출에 대한 보안 불감증과 처벌의 미약함 때문에 우리나라에 대형 사고가 자주 일어나고 있다. 우선 CEO부터 정보보호 의지가 너무 약하다. 미국은 정보 유출 사건이 발생하면 기업이 퇴출당하거나 CEO가 사퇴하는 경우가 꽤 있다. 영국에서는 2차 피해의 가능성을 이유로 1억원이 넘는 벌금을 부과한다. 우리는 형사처벌이나 과징금 수준이 낮아 처벌의 의미가 거의 없다. 해킹으로 정보유출을 당한 기업들도 아무 일 없었다는 듯 영업하고 있지 않나.

▶ 이호웅 센터장(이하 이) = 이번 사태의 원인은 금융기관의 외주관리 보안 부실, 보안 제도와 실행 간의 고질적인 괴리다. 특히 최근 몇년 새 각종 법 규제가 강화되고 기업 보안지침을 강화했는데도 이렇게 됐다는 것은 기업의 보안에 대한 인식수준과 실행 수준에 상당한 격차가 있음을 의미한다. 이번 사태처럼 기업들이 외주직원을 활용하면서 내부 직원보다 특별히 엄격한 통제를 하거나 모니터링하는 경우가 드물다면 계속 이런 일이 발생할 수 있다.

▶ 손동식 센터장(이하 손) = 대한민국 국민의 개인정보는 검은돈을 만들기 위한 가장 기초적인 자원이 된다는 것에 주목해야 한다. 이번 사고로 개인정보시장이 여전히 돈이 되는 매력적인 자원이라는 게 또 한번 검증됐다. 문제는 이 검증된 돈벌이를 제공하는 사이버 공간의 시작점이 대한민국 게임상의 사이버 공간이란 것이다.

- 대형 개인정보 유출 사고를 겪은 후, 개인정보보호법까지 만들었는데도 이런 사태가 발생했다. 규제가 세밀하지 못한 탓인가.

▶ 손 = 법은 강화됐으나 이를 지켜야할 주체가 실행에 옮기지 않았다. 개인정보보호를 위한 사회적 인식과 보호조치 수준이 높아진 것은 사실이나 여전히 금융 즉, 돈이나 신분이 명확하게 보증돼야 하는 곳에는 주민등록번호 등의 식별자가 개인 식별 요소로 이용된다는 얘기다.

▶ 정 = 우리나라의 개인정보보호법은 몇몇 사항을 제외하고는 세계적 수준이다. 문제는 실행이 적절하게 이뤄지지 않고 있다는 거다. 정보 공유가 무분별하게 행해지고 관리 등이 소홀한 것도 문제다. 독일의 신용정보단체들은 소비자들의 어떤 정보를 수집·저장·전달했는지를 의무적으로 1년에 한 번씩 소비자들에게 통보해야 하고, 미국은 개인정보보호에 대한 법적 규제는 한국보다 느슨하나 일단 위법이라고 판단되면 어마어마한 손해배상금을 물린다.

▶ 이 = 요는 정부의 대책이나 법적 기준의 문제가 아니라 이를 준수하고자 하는 기업의 실천의지다. 법제도의 요구수준과 기업 실무부서의 인식과 실행수준 사이의 갭이 존재한다는 것이 문제다.

▶ 손 = 더불어 한국인터넷 진흥원에서는 PIMS(개인정보보호 관리체계인증)라는 제도를 운영하고 있다. 기업이 개인정보보호 활동을 체계적·지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 점검해 일정 수준 이상의 기업에 인증을 부여하는 제도다. 연도별 인증서 발급현황에 카드사는 단 한곳도 보이지 않는다. 기술적·관리적 보호조치에 필요한 인력이 확보돼 있는지도 의문이다. 카드 3사에 외부 인력에 관한 관리적인 보호 절차와 감사절차가 정의돼 있고 이를 실현할 인력이 단 한명이라도 있었다면 왜 내부 데이터베이스(DB)에서 다량의 고객정보가 유출된 것을 실시간으로 감지할 수 없었을까?

- 이러한 사태를 방지하려면?

▶ 손 = 더 이상의 제도를 만들기보다는 법과 규정을 준수하지 않았을 경우의 일벌백계가 필요한 시점이다. 그간 개인정보가 유출됐어도 CEO의 퇴진이라든지 민·형사상의 결과가 소극적으로 발표됐다. 이러한 사태는 최고경영층과 기관장들의 개인정보에 관한 도덕 불감증과 저조한 인식을 바꿔야 막을 수 있다. 때문에 정부차원에서의 강력한 조치가 필요하다.

▶정 = 징벌적 과징금, 과태료, 벌금, 형사처벌 등의 도입으로 사고를 어느 정도 예방할 수는 있지만 이는 최선의 방법이 아니다. 기술적·관리적·문화적 조치를 철저히 하는 것이 답이다. 기술적으로는 정보보호 인프라를 갖추고 유출된 정보라도 이용되지 않도록 암호화해야 한다. 어떤 경우에도 정보가 유출되지 않도록 정보유출 방지 시스템을 개발하고 DB의 구성도 보안을 감안해 설계해야 한다. 특히 관리적으로 필요한 모든 조치를 취하고 정보보호 부서는 CEO가 직접 지휘할 수 있는 위치에 있어야 한다. 중요한 것은 구성원 개개인의 보안 의식이다.

▶ 이 = 강력한 법적 처벌이나 제재가 보완책으로 언급되지만, 이보다는 기업 자체의 노력이 중요하다. 기업 보안부서의 위상을 격상시켜 대기업 감사실이나 인사조치를 직접 취할 수 있는 수준의 통제 권한을 부여하는 것이 필요하다. 지금처럼 보안조직이 실무부서에게 협조를 구하거나 부탁을 해가면서 보안통제를 수행해야 하는 환경에서는 컴플라이언스(규제 대응)가 온전히 이뤄지기 힘들다.

- 카드 3사의 문제만은 아닐 것이다. 운이 좋았을 뿐이지 나머지 카드사들도 언제든지 맞닥뜨릴 수 있는 상황이다. 현장에서 보고 느낀 ‘부실 보안’을 고발해 달라.

▶ 손 = 가장 심각한 곳이 민감한 정보가 많은 의료기관들이다. 정보보호 시스템 도입사례가 희박하고 개인정보 최고 책임자도 없는 곳이 많다. IT책임자나 정보책임자를 둘 인프라나 여건이 안 되는 소규모 의료기관일수록 정보 유출에 취약하다. 특히 성형외과의 경우 수술 전후의 사진이 버젓이 인터넷상을 떠돌고 있으며 사진을 빼돌려 협박까지 하는 2차적인 피해도 발생되고 있다. 성형 전후 사진과 주소, 연락처, 이름, 주민번호, 직장주소 등의 정보들을 조합해 저지를 수 있는 범죄는 무궁무진하다.

▶정 = 국내 기업, 특히 CEO들의 정보보호 인식수준이 낮은 게 사실이다. 일부 IT기업을 제외하면 정보보호책임자(CISO) 직책이 임원급인 경우가 적고 정보보호책임자에게 권한이 없어 제대로 된 보안 투자도 불가능한 실정이다. 또한 많은 금융기관이 개인정보보호법에 명시된 고유식별번호(주민번호 등)와 민감 정보에 대한 암호화 조치를 회피하고 있다.

- 우리나라는 개인정보수집을 과도하게 하고, 관리는 엉망으로 한다는 지적을 받고 있다.

▶ 손 =
금융이나 정부기관 서비스를 이용하려는 경우 가입절차에서 주민등록번호, 종교, 질병과 관련된 민감성 정보, 가족관계 등의 개인정보가 무분별하게 수집되고 있다. 이에 비해 민감성 개인정보를 보호하려는 인식과 기술적·관리적 보호 조치는 미흡한 편이다. 국내 최대 카드 3사의 개인정보 관리 실태가 이러한데 다른 곳은 어떻겠나.

▶ 정 = 외국 기업의 경우 업종별로 차이는 있지만 대체로 이름과 전화번호, 이메일 주소 등 간단한 정보 외에는 요구하지 않는다. 일부 SNS에서는 본인 정보 수집도 없어 복수 계정도 허용된다. 하지만 최근 고객 정보가 유출된 국내 카드사의 경우 성명, 휴대폰 번호, 직장 및 자택번호, 주민번호, 직장 및 자택 주소, 주거상황, 이용실적 금액 등의 개인정보를 수집하고 있다. 심지어는 이를 계열사들과 공유하고 있다. 당연히 유출 가능성과 피해의 정도가 클 수밖에 없고, 이는 OECD 개인정보보호 가이드라인 등 국제적 기준에도 위배된다. 카드사뿐 아니라 다른 기업들도 개인정보를 과도하게 수집하고 있다.

- 카드를 재발급 받으면 안심해도 되는 건가?

▶ 손 = 카드와 관련된 1차적 피해의 대안은 카드 재발급이다. 관건은 유출된 개인정보의 2차적 피해다. 타인의 카드번호와 유효기간을 이용해 인터넷 공간에서 물건을 구매하는 등 다양한 방법으로 악용될 수 있기 때문이다.

▶ 정 = 이번에 유출된 정보는 20여가지로 다양하기 때문에 카드 재발급이 모든 2차 피해를 막을 수는 없다. 주의를 기울이는 습관이 절대적으로 필요하다. 카드사도 단순한 재발급으로 책임을 다했다고 생각해서는 안 된다.

☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제317호에 실린 기사입니다.
 

  • 0%
  • 0%
  • 코스피 : 3258.63상승 6.518:01 06/15
  • 코스닥 : 997.37하락 0.0418:01 06/15
  • 원달러 : 1117.00상승 0.318:01 06/15
  • 두바이유 : 72.86상승 0.1718:01 06/15
  • 금 : 72.01상승 0.8318:01 06/15
  • [머니S포토] 이재명 '민주평화광장·성공포럼 공동 토론회 파이팅!'
  • [머니S포토] 전국 택배노조, 1박2일 상경투쟁
  • [머니S포토] 백신접종 앞서 시민과 인사 나누는 국힘 '이준석'
  • [머니S포토] 윤호중 "대체공휴일법 6월 신속 처리…사라진 빨간날 돌려드릴 것"
  • [머니S포토] 이재명 '민주평화광장·성공포럼 공동 토론회 파이팅!'

커버스토리

정기구독신청 독자의견