[김국배기자] 개인정보 유출 사고가 끊이지 않고 있다.
연초부터 국민·롯데·농협카드가 1억400만 건의 개인정보를 유출한 사건이 발생하더니 그 충격이 가시기도 전에 국내 최대 통신사 KT가 980만 건의 고객정보를 털렸다. 이에 더해 11일 SKT, LG 유플러스 등 다른 통신사들도 고객정보가 유출된 사실이 파악되면서 경찰이 수사에 나선 상태다.
반복되는 사고 탓에 개인정보 유출은 이미 일상적인 일이 된 지 오래고 개인정보의 중요성에 대해서는 불감증이라고 해도 무리가 아닌 상황이 됐다. 이쯤되니 정부는 지난 10일 금융 분야 개인정보 유출 재발 방지 종합 대책을 발표하기에 이르렀지만 얼마나 실효성이 있을지는 미지수다.
이번 대책에서는 기존 금융권에서 수집하던 개인정보의 수를 50개에서 10개 이내로 축소시키고 정보 이용 시 포괄적 동의를 금지했다. 주민번호는 최초 거래 시 한 번만 요구하도록 했으며 불법 수집한 개인정보를 이용했을 때는 매출액의 3%에 과징금을 부과하도록 했다.
◆유출 시도 끊이지 않아…제재 이행 여부 점검해야
전문가들은 되풀이되는 개인정보 유출 사태의 원인 중 한 가지로 낮은 보안의식을 떠나 '개인정보가 돈이 된다'는 사실을 범죄자들이 인식하기 시작했다는 점을 꼽는다. 개인정보가 범죄자들의 표적이 된 만큼 유출 시도는 계속해서 일어날 수밖에 없다는 것이다.
실제로 유출 경로는 조금씩 다르나 정보유출 사고는 하루가 멀다하고 발생하고 있다. 카드 3사와 KT 외에도 티켓몬스터가 2011년 4월 해킹으로 113만 명의 회원정보를 유출한 사실이 뒤늦게 밝혀졌다.
그만큼 수사기관이 개인정보 유출 사건의 용의자에 대한 검거율을 높이는 게 중요하다는 지적이 나온다. 또 소나기 피하듯 그 순간만 모면하려 들지 않게 감독당국이 제재 이행 여부를 지속적으로 점검해야 한다는 의견이다.
임종인 고려대학교 정보보호대학원장은 "징벌적 과징금 등을 통해 개인정보가 유출되면 회사가 망할 수도 있으니 개인정보 책임자한테만 맡길 것이 아니라 전사적 차원에서 지원해야 할 분야라고 여겨야 하며 이를 위해 최고경영자(CEO)가 직접 나서야 한다"고 강조했다.
그는 또한 "이번 종합 대책에서 집단소송제는 빠졌는데 해외의 경우처럼 민사적 책임도 강화해야 한다"며 "300억 원 아끼려다 3천억 원을 잃는 일이 없도록 해야 하는데 한국은 그 부분(민사책임)이 약해 300억 원을 아끼게 된다"고 지적했다.
◆"일선 보안 담당자 책임 묻기 전 권한 따져봐야"
전문가들은 일선 보안담당자에게 책임을 묻는 것에 관해 신중한 입장을 나타냈다. 오히려 이보다는 사고 후 보안팀의 권한을 적절한 수준으로 키워갈 수 있을지에 초점을 맞춰야 한다는 의견이다.
김대환 소만사 대표는 "(보안 사고는) 미시적으로 보면 다를지 몰라도 거시적으로 보면 결국 사람과 예산, 권한 세 가지의 문제"라며 "보안 담당자에게 정당한 책임을 물으려면 이에 대한 충분하 투자가 있었다는 것이 전제돼야 할 것"이라고 말했다.
그는 "제한된 인원과 예산, 권한 속에서 일하는 보안 담당자들의 현실을 고려하지 않고 사고가 났다고 회사의 큰 죄인처럼 취급하고, 꼬리자르기 식으로 보안팀에 책임만 넘긴다면 어떤 좋은 인재가 보안 분야에 오겠나"라고 덧붙였다.
염흥렬 순천향대 정보보호학과 교수도 "정보보호책임자를 처벌하는 것은 조심해야 한다"며 "실제로 자원 배분은 회사가 하는 것인데 그럴만한(책임질만한) 환경은 구축돼 있었는지 파악한 후에야 부주의나 태만을 따져야 할 것"이라고 주장했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기