김병완 삼성경제연구소 연구원은 기업들의 개인정보 유출 사고가 끊이지 않는 이유에 대해 “근본적 요인은 주민등록번호를 중심으로 기업 DB를 구성하는 것이 당연하게 인식되어 온 게 문제”라고 지적했다.
하지만 인터넷상의 범죄나 분쟁이 발생하면 가장 유용한 정보가 주민번호이다. 그러나 ‘불신’이 팽배해 있는 인터넷 문화가 깊숙이 뿌리 내리고 있는 한 인터넷실명제를 포기하기란 쉽지 않아 이를 해결하기 위한 방안이 중요하다고 말했다.
그는 개인정보를 철저히 보호해야겠다는 사회적 책임의식과 보안에 대한 CEO의 관심을 높이기 위해서는 “현재 진행 중인 CSO(Chief Security Officer) 의무화 법안의 적용 범위를 재검토할 필요가 있다”면서 “현재는 전산책임자(CIO)가 CSO를 겸하는 형태이거나 관리자(부장급)직급이 보안업무를 총괄하는 경우가 다수여서 전임·임원급 CSO를 선임, 강력한 책임과 권한을 부여하도록 유도해야 한다”고 강조했다. 다음은 일문일답.
올해 들어 3ㆍ4 분산서비스거부(DDoS) 공격, 현대 캐피탈 고객 개인정보 유출 사건, 농협 전산망 마비 사건, 한국엡손 고객정보 유출 등 정부와 금융 등의 국가기반시설에 대한 사이버 공격이 연이어 발생하고 있다. 기업들의 개인정보 유출 사고가 끊이지 않는 이유는.
OS 기반의 해킹 시도의 비중은 감소하는 대신 인터넷 사용자가 별다른 의심 없이 설치하는 액티브X를 비롯, 최근 발생한 SK컴즈 사태의 알집 등 응용프로그램을 통한 해킹 시도가 증가하고 있다.
특히 중국 등지의 개인정보 암거래 시장이 팽창함에 따라 개인정보 유출이 빈번하게 발생하고 있다. 이러한 불법 시장은 거꾸로 국내로도 유입, 개인정보를 저가에 구입해, 고가에 재판매함으로써 차익을 노리는 불법 비즈니스로 이어진다.
또한 국가간·해커간 사이버 패권 경쟁도 심화되고 있고, 특별한 동기가 없는 해킹도 꾸준히 증가하고 있다.
하지만 근본적인 원인은 주민등록번호를 핵심키(Key)로 기업 DB를 구성하는 것이 당연하게 인식되어 온 것이 문제다.
그렇다고 인터넷실명제가 기반인 국내 실정에 있어서 무조건 기업만을 탓할 수는 없는 실정이다. ‘불신’이 팽배해 있는 인터넷 문화가 깊숙이 뿌리 내리고 있는 한 인터넷실명제를 포기하기란 쉽지 않아 이를 해결하기 위한 방안이 중요하다.
해킹 등 개인정보 유출에 대한 피해를 최소화 할 수 있는 방안은.
일단 한 번 유출된 개인정보는 다시 환원할 수 없는 만큼 심각한 후유증을 동반한다.
사후적 대응보다는 사전적 대응 방안이 중요한 문제다. 일단 유출이 확인된 경우에는 보이스피싱, 명의도용 등 다른 형태의 범죄로 이어질 수 있어 개개인의 인식과 대응이 최선의 방법이다.
개인정보의 유출이 확인된 경우 비밀번호를 신속히 변경(대문자, 소문자, 숫자, 특수기호를 모두 조합한 비밀번호는 듀얼코어 프로세서의 PC로도 23년 소요, 英 Lockdown社)하고, 특정기관을 사칭하는 행위에 각별히 유의해야 하며, 이와 함께 명의도용방지서비스를 이용하는 것이 중요하다.
실제로 해킹에 잘 대처하는 기업과 그렇지 못한 기업의 차이점은.
기업마다 특성이 있겠지만 개인정보를 보다 안전하게 관리하고 있는 기업들은 CEO 및 임직원의 인식제고에 대한 명확한 개념을 가지고 있다는 점이다.
또한 사고 발생시 대처 능력이나 제도의 명문화 정도와 처벌수위, 보안인력규모와 보안솔루션 운영역량 등 다양한 측면에서 차이가 날 수 있다.
무엇보다 개인정보 처리 실태에 대해 지속적인 내부 점검을 비롯, 임직원의 개인정보에 대한 인식제고를 위해 끊임없는 교육 등이 중요하다.
개인정보 침해사고를 미연에 방지하기 위한 사전, 사후 관리 차원의 대응방안은.
먼저 정부의 역할로는 사전, 사후적 보안에 대한 명확한 매뉴얼이 중요하다. 이를 위해 표준기능을 제정, 확산시켜 나가야 한다.
특히 중소·영세 기업들을 위해 정부를 중심으로 한국인터넷진흥원 및 보안업체가 교육, 진단 및 컨설팅, 치료 등의 서비스를 확대 지원할 필요가 있다.
기업의 경우 보안업무에 대한 성과가 잘 드러나지 않기 때문에 ‘잘해야 본전’이라는 인식이 팽배해 있다. 따라서 무엇보다 CEO의 인식 제고가 선행돼야 한다.
또한 보안업무의 성과를 타당하게 측정하기 위해서 TCO, ROI, EVA 등 전통적 측정기법을 발전시키는 방안도 전략적으로 중요하다.
개인정보를 철저히 보호해야겠다는 사회적 책임 의식과 CEO의 관심이 여전히 낮다. 이를 해결하기 위한 방안은.
현재 진행 중인 CSO(Chief Security Officer) 의무화 법안의 적용 범위를 재검토할 필요가 있다. 현재는 전산책임자(CIO)가 CSO를 겸하는 형태이거나 관리자(부장급) 직급이 보안업무를 총괄하는 경우가 다수이다.
전임·임원급 CSO를 선임, 강력한 책임과 권한을 부여하도록 유도해야 한다. 실제 2010년 IDG(International Data Group)의 기업보안현황조사에 의하면 조사대상인 227개의 글로벌기업들은 보안과 관련된 인식과 체계가 과거에 비해 크게 향상된 것으로 나타났다.
보안 정책과 프로세스 수립을 고위 경영진이 담당하는 비율은 ‘04년 23%에서 2010년 81%급증했다. 또 보안비용을 간접비로 인식하지 않고 필수적 비용으로 인식하는 비율도 17%에서 72%로 높았다. 보안정책에 대해 매년 의무교육을 실시하는 비율 또한 38%에서 78%로 증가했다.
이에 따라 차후에는 ‘내부회계관리제도’와 같이 적정 규모 이상의 법인을 상대로 ‘기업내 보안 컴플라이언스 구축, 운영 및 통제, 대내보고 및 대외공시’가 의무화되는 메커니즘을 적용하는 방안을 고려해 볼 필요가 있다.
그러나 단기간내 보안전문 인력 및 시스템을 확충하기 어려운 중견 이하 규모의 기업을 위해 단계적인 적용 방안도 고려돼야 한다.
오는 9월 말 발효되는 개인정보보호법 제정에 대한 견해는.
단기적으로 혼란이 예상된다.
특히 수기문서에 대한 구체적인 가이드라인 부재를 비롯해 개별법을 적용 받는 금융, 의료 업종 등은 산업 분류와 관계없이 일률적으로 적용되는 것은 다소 부담스러울 것으로 생각된다.
이는 ‘개인정보’에 대한 포괄적 정의와 과도한 규제는 기업의 창의적 경영활동을 방해하는 역기능을 야기할 수 있다는 것이다. 특히 업종별 특성을 반영한 시행규칙을 제정하거나, 정보통신망법, 신용정보이용및보호법, 의료법 등 특별법의 융통성 있는 개정이 빠른 시일내에 수반돼야 한다.
그러나 개인정보유출사고에 대한 국민 피해구제가 강화됨에 따라 단체, 집단 소송이 남발할 가능성도 커지고 있다. 하지만 부정적인 측면만 있는 것은 아니다.
반드시 있어야 하는 기본법으로서 긍정적인 측면이 많다. 이에 개인정보보호법 시행으로 기업 정보보안의 사각지대를 최소화할 것으로 기대된다.
또한, 법안의 실효성을 따지기 이전에 CEO의 책임과 처벌수위를 명시한 것은 개인정보보호에 대한 인식을 환기시키는 계기가 될 것으로 보인다.
무엇보다 주민등록번호 등 고유식별 번호를 원칙적으로 수집하지 못 하도록 하는 조항은 이번 개인정보보호법의 핵심이지만 이번에 대안으로 제시된 I-PIN은 최적의 대안이 아니라고 생각한다.
아이핀도 주민번호에 기반한 인증방식으로 주민등록번호와 1:1 매칭이 가능해 이에 대한 대안 마련이 선행돼야 한다.
