[덫에 걸린 신용사회]<5·끝>‘카드사 정보유출’ 한달… 전문가 조언
○ 내부자 감시 시스템 개발해야
전문가들은 이번 사태를 개인정보의 중요성을 인식하지 못한 개인과 기업이 함께 빚어낸 ‘예견된 사고’라고 진단했다. 이번 유출 사고는 카드사의 전산프로그램 개발 용역을 담당했던 코리아크레딧뷰로(KCB) 직원이 카드사의 고객 정보에 무단 접근하면서 발생했다. 개인정보를 다루는 용역 직원에 대한 관리만 철저했어도 충분히 막을 수 있었던 사고다.
김승주 고려대 정보보호대학원 교수는 “미국에서는 내부자의 이상 행동이 발견되면 경보를 울리는 ‘사인더(CINDER·Cyber Insider Threat)’ 프로그램을 개발해서 운영 중”이라며 “포커를 할 때 좋은 패가 나오면 사람의 표정이 미묘하게 바뀌는 것을 포착하는 기술과 같은 이치”라고 말했다.
개인정보를 처리하는 업체들의 수준을 등급별로 나눠 공개하고 개인정보를 다루는 사람에 대해서는 자격검정제도를 둬야 한다는 제안도 나왔다.
이규정 한국정보화진흥원 개인정보보호단장은 “개인정보를 위탁 관리하는 이들의 역량이 기대에 미치지 못하는 경우가 많다”며 “개인정보를 제대로 ‘관리’하려면 관련 능력을 갖춘 직원들이 수행하도록 해야 한다”고 말했다.
○ “자율규제 강화하되 사고는 일벌백계해야”
많은 전문가들은 정부가 시시콜콜 지침을 제시하기보다 업계 자율적 규제를 유도하되 사고나 일탈 행위가 발생하면 일벌백계해 재발을 막는 방안이 효과적이라고 입을 모은다. 지난달 22일 정부는 고객 정보 유출 재발 방지 대책을 내놓으면서 사고를 일으킨 회사에 대한 과징금을 ‘매출액의 1%’로 강화했지만 처벌 기준을 불법 관련 매출액으로 제한해 ‘솜방망이’ 처벌 논란을 불러왔다. 유럽연합(EU)은 개인정보 보호규칙 개정안을 발표하면서 중대한 위반 행위라고 판단되면 전 세계 매출액의 2%를 과징금으로 부과하겠다고 밝힌 바 있다.
정보 보호 인력이 기업 경영에 보다 적극적으로 참여할 수 있도록 제도적 장치를 마련해야 한다는 조언도 나왔다. 김세헌 KAIST 정보보호대학원 교수는 “회사 안에 정보 보호 정책을 제대로 추진할 힘 있는 조직을 만들어야 한다”며 “정보기술(IT) 부서 밑에 정보 보호 부서를 둬서는 효과가 없고 독립 기구로 해야 한다”고 말했다.
신수정 기자 crystal@donga.com
이원진 인턴기자 연세대 응용통계학과 4학년
최선재 인턴기자 건국대 법학과 4학년