“이상행동땐 경보… 내부자 일탈 감시체계 필요”

[덫에 걸린 신용사회]<5·끝>‘카드사 정보유출’ 한달… 전문가 조언

크게보기

8일이면 KB국민 롯데 NH농협카드에서 사상 최악의 정보 유출 사태가 터진 지 한 달이 된다. 전 국민은 개인정보의 불법 유통과 금융회사의 허술한 정보 관리에 분노했다. 이번 사태는 정보 보안 인프라가 부실한 ‘신용사회’가 얼마나 위험한지를 일깨워준 계기가 됐다. 한 달간 한국 사회를 뒤흔든 정보 유출 사태의 원인 진단과 재발 방지 해법 마련에 대한 전문가들의 조언을 소개한다.

○ 내부자 감시 시스템 개발해야

전문가들은 이번 사태를 개인정보의 중요성을 인식하지 못한 개인과 기업이 함께 빚어낸 ‘예견된 사고’라고 진단했다. 이번 유출 사고는 카드사의 전산프로그램 개발 용역을 담당했던 코리아크레딧뷰로(KCB) 직원이 카드사의 고객 정보에 무단 접근하면서 발생했다. 개인정보를 다루는 용역 직원에 대한 관리만 철저했어도 충분히 막을 수 있었던 사고다.

지난해 국내 기업이나 금융회사에서 발생한 다섯 번의 정보 유출 사고 중 세 번이 내부자 소행이었다. 이로 인해 462만 건의 고객 정보가 빠져나갔다. 고의로 정보를 외부로 빼돌리는 내부자의 일탈을 감시하고 막는 기술적인 대책이 필요하다는 지적이다.

김승주 고려대 정보보호대학원 교수는 “미국에서는 내부자의 이상 행동이 발견되면 경보를 울리는 ‘사인더(CINDER·Cyber Insider Threat)’ 프로그램을 개발해서 운영 중”이라며 “포커를 할 때 좋은 패가 나오면 사람의 표정이 미묘하게 바뀌는 것을 포착하는 기술과 같은 이치”라고 말했다.

개인정보를 처리하는 업체들의 수준을 등급별로 나눠 공개하고 개인정보를 다루는 사람에 대해서는 자격검정제도를 둬야 한다는 제안도 나왔다.

이규정 한국정보화진흥원 개인정보보호단장은 “개인정보를 위탁 관리하는 이들의 역량이 기대에 미치지 못하는 경우가 많다”며 “개인정보를 제대로 ‘관리’하려면 관련 능력을 갖춘 직원들이 수행하도록 해야 한다”고 말했다.

○ “자율규제 강화하되 사고는 일벌백계해야”

많은 전문가들은 정부가 시시콜콜 지침을 제시하기보다 업계 자율적 규제를 유도하되 사고나 일탈 행위가 발생하면 일벌백계해 재발을 막는 방안이 효과적이라고 입을 모은다. 지난달 22일 정부는 고객 정보 유출 재발 방지 대책을 내놓으면서 사고를 일으킨 회사에 대한 과징금을 ‘매출액의 1%’로 강화했지만 처벌 기준을 불법 관련 매출액으로 제한해 ‘솜방망이’ 처벌 논란을 불러왔다. 유럽연합(EU)은 개인정보 보호규칙 개정안을 발표하면서 중대한 위반 행위라고 판단되면 전 세계 매출액의 2%를 과징금으로 부과하겠다고 밝힌 바 있다.

미국의 ‘징벌적 손해배상제도’처럼 피해를 입은 개인에 대한 보상을 강화해야 기업들의 인식이 바뀐다는 주장도 나온다. 백대용 법무법인 세종 변호사는 “기업들이 가장 두려워하는 것은 금전적인 손실”이라며 “피해자 구제 관련 법제를 조속히 정비해야 한다”고 말했다.

정보 보호 인력이 기업 경영에 보다 적극적으로 참여할 수 있도록 제도적 장치를 마련해야 한다는 조언도 나왔다. 김세헌 KAIST 정보보호대학원 교수는 “회사 안에 정보 보호 정책을 제대로 추진할 힘 있는 조직을 만들어야 한다”며 “정보기술(IT) 부서 밑에 정보 보호 부서를 둬서는 효과가 없고 독립 기구로 해야 한다”고 말했다.

신수정 기자 crystal@donga.com
이원진 인턴기자 연세대 응용통계학과 4학년
최선재 인턴기자 건국대 법학과 4학년