반복되는 정보유출, 대책은?

옥션 개인정보 해킹 사건, LG텔레콤 개인정보 유출 사건, 하나로텔레콤 개인정보 유출 사건에 이어 GS 칼텍스의 고객 천백만명의 개인정보가 유출됐습니다.

외부 크래커의 공격에 의한 것도 있고, 회사가 마케팅 목적으로 다른 곳에 판매한 경우도 있고, 이번 경우처럼 내부 직원이 고객 정보를 훔치는 경우도 있습니다.

그런 의미에서 이번 사건은 내부 직원에 의한 '기술 유출' 사건과 비슷합니다.

흔히들 개인정보 유출 사건이 일어나면 크래커의 공격을 떠올립니다.

하지만, 몇차례 혼이 난 뒤로 외부 침입에 대한 방패는 어느 정도 정비가 돼있다는 게 보안업계의 이야깁니다.

물론, 세계에서 가장 보안이 철저하다는 미 국방성도 크래킹을 당하기도 할 만큼 창과 방패의 전투야 계속되는 것이지만... 적어도 중급 수준의 크래커가 와서 놀 수 있는 환경은 아니란 거죠.

문제는 내부 직원에 의한 유출입니다.

내부자는 정보의 위치와 가치를 잘 알기에 외부 공격보다 피해가 더욱 클 수 있기 때문이죠.

빈도도 더욱 잦습니다.

실제로 지난 3년간 발생 빈도를 보면 

            내부자 소행      외부 침입

 2005년     46.9%         37.8%

 2006년     47%           39.6% 

 2007년     55.7%        35.7%     입니다. (자료는 한국정보보호진흥원 제공)

모든 업무처리가 전산으로 이뤄지고, 컴퓨터가 네트워크로 연결돼 있는 상황에서 이런 정보 유출 사건이 일어나는 건 필연적입니다.

그렇다고 손을 놓고 있을 순 없죠.

대책은 크게 두가지로 볼 수 있습니다.

가장 근본적인 대책은 유출될 정보를 만들지 않는 방법이겠죠.

이런 문제가 나올 때마다 항상 나오는 이야기지만, 문제의 핵심은 '주민등록번호'입니다.

본인 확인 등의 목적으로 회원 가입을 할 때 '주민등록번호'를 등록하기 때문이죠.

우리나라 사람들의 개인정보는 상시 노출 위험이 있는 셈입니다.

몇 차례 사건이 일어난 뒤로 주민등록번호를 대체하는 아이핀 등을 사용하는 개인정보보호법안이 추진되고 있는데요.

기존에 받아놓은 주민번호를 모두 폐기하지 않는다면 그다지 실효성이 없을 것이란 지적이 있습니다.

정보를 아예 저장하지 않을 순 없으니 이걸 잘 관리하는 방법이 두번째입니다.

이건 기술적 개선과 문화, 법제도 정비 측면으로 나눠볼 수 있는데요.

우선 기술적인 측면부터 보겠습니다.

저장된 고객정보나 중요 자료가 외부로 나갈 수 있는 방법은 두 가집니다.

네트워크를 타고 외부로 흘러가거나 USB나 외장 하드디스크 등의 저장 매체에 담겨 나가는 방법이죠.

그렇다면 이 두 가지를 모두 막아야할텐데요.

1차적으로 생각해볼 수 있는게 중요 자료들에 암호를 거는 겁니다.

이렇게 간단한 건데 기업들은 안 하는 경우가 많습니다.

왜 일까요?

'처리 속도' 때문입니다.

암호를 걸어놓으면 그 암호를 풀어야겠죠.

이게 간단해보이지만 나름 복잡한 연산을 거쳐야 하기 때문에 업무 처리에 큰 영향을 미칠 수 있습니다.

안철수연구소에 따르면 고객정보 하나하나에 모두 암호를 거는 솔루션은

3년전까진 업무가 불가능할 정도의 속도였다고 합니다.

하지만, CPU가 계속 개선되고 암호 알고리즘도 발달하고 있기 때문에 요즘은 상황이 좋아졌다고 하는데요.

그렇다 하더라도 정말 중요한 정보들에 암호를 거는 정도는 현재의 기술로도 충분히 가능하기 때문에

필요하다는 거죠. 외부로 유출됐을 경우엔 아예 열리지 않도록 하는 방법도 있습니다.

또하나 중요한게 '계정과 사용권한'의 문제입니다.

윈도우 XP를 사용할 때도 '계정'을 나누죠?

관리자 계정과 GUEST 계정을 둬서 GUEST일땐 함부로 다운을 못받게 한다거나 시스템을 못 건드리게 하지요.

이런 것처럼 기업에서도 직원이 담당하는 업무와 관련된 자료만 볼 수 있게 계정별 사용권한을 보다 세밀하게 세분화해야 한다는 겁니다.

이렇게 되면 만일 유출이 있다해도 이렇게 대규모는 아니란 거죠.

이렇게 시스템을 정비하더라도 결국 사람이 다루는 일이기 때문에 보안 교육 등을 통해 인식을 바꾸는 것도 중요합니다.

보안업계에선 이런 말을 하더군요.

서양의 경우엔 기본적으로 사람을 믿지 않고 합리적인 이해관계에 따르는 문화이기 때문에 보안에 대한 설계가 철저하지만, 우리의 경우 '정'을 중시하는 문화다 보니 보안에 대해 허술한 측면이 있고 투자도 잘 않는다는 것이죠.

이 말이 얼마나 맞을진 모르겠지만, 보안에 대한 인식을 키워줄 필요는 있습니다.

또 하나가 법제도의 문제입니다.

개인정보 보호를 규정하는 법률이 현재는 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률'인데요.

이 법률에서 정보보호 의무가 있는 대상은 '전기통신사업자'와 '정보통신서비스 제공자'입니다.

이 외에도 백화점과 할인점, 항공사, 여행사, 호텔, 콘도 등은 준용 사업자로 규정하고 있지만, GS칼텍스 등의 오프라인 업체가 여기에 해당되는지는 법률이 명확하게 규정하고 있지 않아 논란의 소지가 있습니다.

웹페이지를 운영하면 모두가 해당되는게 아니냐라고 단순하게 생각할 수 있지만, 현행 법률은 오프라인 업체가 온라인 사이트를 운영할 경우 여기서 일어날 수 있는 정보보호 측면에 대해 명확하게 규정하지 않고 있기 때문입니다.

이 때문에 온오프라인을 포괄하는 '개인정보보호 법안'이 필요하다는 지적이 나왔고 17대 국회에서 여러 안이 나왔지만 논의되지 못하고 폐기됐습니다.

이번 정기국회에서도 이에 대한 법안이 논의가 될텐데요.

과연 어떻게 될지...지켜봐야겠습니다.

[편집자주] 유재규 기자는 2005년 SBS 기자로 입사해 국제부를 거쳐 사회2부 사건팀 기자로 취재 현장을 누비고 있습니다. 따뜻한 시선과 섬세한 취재로 우리 일상의 사건.사고와 숨은 이야기들을 전하고 있습니다.