[김국배기자] 최악의 개인정보 유출 사태를 만들어낸 KB국민·롯데· NH농협카드 사건으로 대한민국이 일대 혼란에 빠졌다. 고객들의 카드해지·정지·재발급 요청이 폭주하는 가운데 전화는 불통이고 홈페이지는 다운됐으며 3개 카드사 사장들은 일제히 사표까지 내야했다.
도대체 어디서 무엇이 잘못됐기에 이토록 큰 사고가 발생한 것이며 보안 업계 및 전문가들은 이번 사건을 어떻게 바라보고 있는 지 궁금하다.
보안 전문가들은 반복되는 금융권 개인정보 유출사고들에 대해 '보안 경시와 극단적 효율 추구가 부른 비극'이라고 평가했다. 보안을 여전히 '비용'으로만 보고 그 중요성을 인식하지 못한 데서 빚어진 원초적 비극이라는 지적이다.
◆'보안=비용' 경영층 관점이 '화' 부른다
보안 전문가들이 공통적으로 지적하는 근본원인은 보안에 대한 '경영층의 관점'이다. 최고경영자(CEO)들이 예전보다 관심을 많이 갖고 있기는 하나 여전히 보안을 '비용'으로만 간주할 뿐 그 중요성을 잘 모르고 있으며 투자 또한 지극히 인색해 결국 '화'를 부른다는 것이다.
고려대 이경호 정보보호교육 지역센터장은 "금융기관 내부에서는 새로운 보안 위험이 나타나더라도 금융감독원의 권고나 지침이 없을 경우 경영진을 설득해 보호조치를 취하기가 무척 어려운 실정"이라고 설명했다. "보안에 대한 투자를 많이 하면 할수록 수익을 감소시키는 비용만 많아진다고 생각하기 때문"이라는 지적이다.
상황이 이렇다보니 경영층과 실무진이 느끼는 괴리도 크다. 실무선에서 위기라고 느끼는 상황을 경영층은 대수롭지 않게 여기는 경우도 많다. 보안 책임자와 담당자들이 정보보호 책임은 있으나 대응과 방어 권한은 약해 효율적인 대처가 어려워지는 웃지 못할 상황이 발생하기도 한다.
웹보안 업체인 빛스캔 전상훈 이사도 "경영진이 정보를 보는 시각이 가장 큰 문제"라며 "기업이나 국가의 리더급에서 (비용으로써의 보안에 대한) 인식 개선이 절대적으로 필요하다"고 강조했다.
◆ 극단적 비용 효율 추구가 낳은 비극
기업이 '극단적 효율성'을 추구하는 행태도 이어지는 개인정보 유출 사고의 원인으로 지적되고 있다. 기업들이 극단적으로 비용 효율을 추구하는 사례는 보안 전문 인력 부족 상황에서도 바로 나타난다.
빛스캔 전상훈 이사는 "경영 효율화란 명목으로 보안과 감시라는 필수 기능을 IT 자회사에 몰아 넣는 방식으로 자원을 '공동 활용'하는 게 가장 큰 문제"라고 비판한다.
블루코트코리아 김창오 기술 이사도 "신속한 정보처리는 생산성에 영향을 미치고 기업은 정보 전달이 지연되는 것에 매우 민감한데도 개인정보가 어떤 목적으로 사용되고 누구의 책임 하에 관리될 것인지 명확히 확인하는 절차를 갖추지 못한 경우가 많다"고 지적했다. 그는 또한 "정보 산업이 급속하게 발전하면 개인정보보호활동에 대한 투자도 충분히 이뤄져야 하는데 현실은 그렇지 못하다"며 "열악한 환경에서 정보 유출사고도 이어진다"고 분석했다.
보안 전문가들은 투자와 인식 전환에 앞서 효율성만을 우선적으로 추구하는 행태는 법·제도에서부터 드러난다고 주장한다. 대표적인 예가 금융지주회사법이다. 이 법에 따라 금융지주회사들은 개별 자회사가 확보한 고객 정보를 다른 자회사에서 마음껏 쓸 수 있다.
권석철 큐브피아 대표는 "금융기관들이 효율성을 높이고자 금융지주회사법을 근거로 계열사 간 개인정보를 공유한 것도 원인 중 한 가지"라며 "민감한 개인정보를 다루는 업무에서는 효율성보다 보안성을 우선시 해야 한다"고 말했다.
◆ 징벌적 벌금 등 강력한 처벌 필요
보안전문가들은 개인정보보호나 보안 관련 사고를 낸 회사에 징벌적 벌금 등 강력한 제재를 가해야 한다고 강조한다. 실제로 미국 법무부와 통화감독청은 올해 초 금융사기에 관여한 투자은행 제이피모건(JP)에 2조 원이 넘는 벌금을 부과하기도 했다.
또한 기업의 개인정보보호활동이 정보의 흐름에 따라 이뤄져야 한다는 조언도 있다. 정보를 관리하려면 수집-이용-제공-파기로 이어지는 라이프사이클에 맞도록 해야 한다는 것이다.
고려대 이경호 정보보호교육 지역센터장은 "이번 사건은 오히려 더 큰 사건으로 나아가는 길목일 수 있다"며 "기업 내부의 문제를 해결하고 강력한 관리체계를 갖출 수 있도록 금융사에게 개인정보보호 사고에 책임을 제한없이 부과해야 한다"고 주장했다.
블루코드코리아 김창오 이사는 "이번 사고도 협력업체의 개발자에게 정보가 전달됐던 상황을 정확히 인지하고 이를 분석된 위험 기준에 따라 보호조치했다면 충분히 예방 가능했을 것"이라며 "현실은 그러나 개인정보의 흐름에 대해 정확히 파악 못하고 보호대책도 이행 못할 때가 많다"고 지적했다.
실제로 정보의 수집단계에서는 제도적 장치들 덕에 정보 이용에 대한 동의 절차를 거치는 등 정보에 대한 식별 수준이 비교적 높아졌지만 이용 단계는 복제 및 재사용이 쉽다는 디지털 정보의 특성 상 관리가 어려운 것이 문제로 지적되고 있다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기