[시론/염흥열]개인정보 유출, 디지털경제 신뢰 망친다

염흥열 순천향대 정보보호학과 교수

우려했던 사고가 발생하고 말았다. 사상 최대인 1억400만 건의 금융 개인정보가 유출된 것이다. 외부 용역회사 직원에 의해 NH농협, KB국민, 롯데카드사에서 각각 2012년 10월 2500만 건, 2013년 6월 5300만 건, 12월 2600만 건이 불법 수집됐다. 이 중 일부는 대출 광고업자와 모집인에게 불법 유통됐다. 2011년 이후 주요 금융회사에서 8차례에 걸쳐 318만 건의 금융 개인정보가 유출되었는데, 이번 사건은 이를 뛰어넘는 최악의 사고다.

기업 때문에 개인정보 유출 사고가 발생하면 해당 기업은 서둘러 사과한다. 감독기관은 긴급 점검에 나서고 재발 방지를 약속한다. 그러나 피해는 계속 확대된다.

사고의 직접적인 원인은 외부 용역회사 직원에 대한 카드사의 허술한 보안 관리에 있었다. 개인정보처리시스템을 다루는 용역회사 직원에게 휴대용 저장장치(USB)의 이용과 반·출입을 허용했다. 또한 권한도 과도하게 부여했다. 고객의 금융 개인정보도 안전하게 암호화되지 않았다.

더 큰 문제가 있다. 일부 카드회사는 길게는 일 년 넘게 대규모 개인정보가 유출됐다는 사실 자체도 모르고 있었다. 정보 유출의 2차 피해도 심히 우려되는 상황이다. 유출된 개인정보는 카드 가입자의 성명, 휴대전화번호, 직장명, 주소 등과 일부 신용등급 정보도 포함하고 있는 것으로 알려졌다. 정보가 유출된 고객에 대한 실질적 피해 보상은 요원하다. 2010년 이래 카드사에서 크고 작은 개인정보 유출 사고가 이어졌다. 하지만 카드사가 피해 고객에게 직접 보상을 하려는 움직임은 없는 것 같다.

이러한 유출 사고가 반복되는 데는 금융 감독기관의 책임도 있다. 금융당국의 엉성한 대응과 솜방망이 문책이 금융사의 안일을 부추긴다. 현행법에 이미 정보 유출을 초래한 금융사에 대한 처벌이나 임직원에 대한 징계 조항이 있기는 하다. 하지만 금융 감독기관의 솜방망이 징계와 온정주의적 처벌 때문에 금융회사는 보안 관리를 강하게 할 필요성을 크게 느끼지 못했다.

앞으로는 대규모 정보 유출 사고를 초래한 금융회사에 대해 엄중히 책임을 묻고 단호하게 징계 조치를 취해야 한다. 이런 조치가 금융회사의 보안 인식 제고와 실질적인 보안 투자를 유도할 수 있기 때문이다. 해당 카드사에 대한 보안 점검과 재발 방지를 위한 보안 관리도 바뀌어야 한다. 더불어 이참에 모든 금융회사에 대한 정보보안관리 점검도 필요하다.

외부 용역 직원에 대해서도 중요 금융정보 자산에 대한 물리적 논리적 출입 통제, 개발자 권한에 적절한 접근 권한 부여, 개발 보안과 운영 보안의 엄격한 구분, 주요 금융 개인정보의 암호화 등 안전성 조치, 그리고 주요 개인처리 행위에 대한 사후 모니터링 통제의 점검과 강화가 시급하다.

복사가 용이한 디지털 정보의 특성상 불법적으로 확산 유통되는 것을 방지하기 위한 실시간 감시 시스템의 구축과 운영도 필요하다. 지난해 8월에 발표된 ‘금융 분야 개인정보 가이드라인’에 따르면 수탁자의 관리 감독 책임을 명확히 했다. 현장에서 이런 규정들이 지켜지고 있는지 점검해야 한다.

금융 감독기관에 의한 보안 점검도 사후약방문 식의 점검이 아니라 사전 예방 형태로 전면적으로 바꿔야 한다. 일정 규모 이상 모든 금융회사의 정보보호관리 체계에 대한 인증 의무화도 필요하다. 해당 카드사는 피해 고객의 불안감을 해소하기 위해 보이스피싱과 금융사기 같은 2차 사고의 피해 가능성을 적극 알려 대비할 수 있도록 해야 한다. 카드사의 보안 관리 미흡으로 발생한 사고인 만큼 카드사의 고객에 대한 책임 있는 보상도 요구된다.

염흥열 순천향대 정보보호학과 교수