대형 개인정보유출사고 선제적 예방 대책 마련해야

 역대 최대 규모인 2000만명 개인정보 유출 사고가 발생해 충격을 안겨준 가운데 정부가 내놓은 대응방안이 기존 대책과 거의 흡사할 뿐만 아니라 미봉책에 불과하다는 지적이다.

 개인정보보호법을 시급히 제정해 모든 사업자에 대해 행정처벌의 수위를 높이고 개인정보 유출 사실 통지를 의무화하는 등 선제적 대응책 마련에 주력해야 한다.

 14일 업계 및 정부에 따르면 방송통신위원회와 행정안전부가 개인정보를 유출한 사업자에 현장 조사 실시와 고객 DB 암호화 이행 점검 강화·무료 웹방화벽 확대·아이핀 전환 캠페인 전개 등을 내용으로 한 개인정보보호 대책을 급히 내놓았지만 사고 재발을 막기에 역부족이다.

 이번 개인정보 유출 사고에 연루된 20여곳의 사업자들은 위법 행위가 확인되면 행정처분을 받겠지만 또 다른 대형 개인정보 유출 사고의 가능성을 안은 사업자가 적지 않게 있기 때문이다.

 방통위의 ‘2009년 정보보호 실태조사’에 따르면 종사자 5인 이상 사업장의 조사대상 2300개 중 DB 보안 솔루션을 도입한 기업은 24.2%에 불과했다.1900여곳의 사업장은 아직도 고객 DB를 암호화하지 않은 탓에 사각지대로 남았다. 게다가 가장 기본적인 방어 시스템인 방화벽 구축 비율은 지난해 54.7%에 그쳤다. 절반가량의 기업이 방화벽조차 구비하지 못한 실정이다.

 전문가들은 옥션·GS칼텍스 등의 개인정보 유출 사고가 되풀이되는 것은 정부의 단타성 대응도 문제지만 무엇보다 법 준수 의지가 없는 기업들의 보안 불감증을 가장 큰 원인으로 손꼽았다. 정부가 1월 말 이후 주민 DB 암호화를 의무적으로 시행하도록 했지만 백화점·게임업체·대형 포털 등 사업자는 시스템 속도 지연 등을 우려, 관련 솔루션을 도입하지 않고 있다. 전체 대형 백화점은 단 한 곳도 DB 암호화 솔루션을 도입하지 않았으며, 대형 포털 등도 동종 업계에 개인정보 유출 사고가 없었다는 이유로 도입을 차일피일 미루고 있다.

 따라서 사업자 보안지침 시행 점검 정례화·인터넷사이트 회원가입 절차 간소화 등 엄격하고 선제적인 재발 방지 대책에 보다 주력해야할 것으로 지적됐다. 특히 국회에 계류 중인 ‘개인정보보호법’을 하루빨리 제정해야 한다는 목소리가 높다.

 정보통신망법에 의거 인터넷·통신사업자 등 46만개 업체만 개인정보보호 준수의 의무를 갖고 있는 반면, 개인정보보호법은 모든 법인사업자와 단체가 개인정보보호를 의무화하도록 명시하고 있다. 이 법은 처벌조항도 기존 ‘3년 이하 징역, 1000만원의 벌금’에서 ‘5년 이하 징역, 5000만원 이하 벌금’으로 엄격해 범죄 예방 효과를 높일 수 있다.

 이와 함께 불법으로 개인정보를 수집·유통한 중국 해커의 조기 검거를 위해 중국 공안당국과 공조 수사체계 구축도 시급한 실정이다.

 보안업체 한 관계자는 “DB 암호화가 모든 문제를 해결해주는 것은 아니지만 암호화를 하지 않았다는 것은 취약점이 여전히 남아 있다는 뜻”이라며 “보안을 제대로 유지하려면 안전한 알고리듬 암호화·키기밀성확보·권한제어의 3가지를 완벽히 준수하는 솔루션을 체계적으로 구축해야 한다”고 지적했다.

 이강신 한국인터넷진흥원 단장은 “개인정보보호법을 제정해 정보보호의 사각지대를 없애야겠지만 문제는 기업의 실천 의지가 없다는 것”이라며 “무엇보다 기업들이 고객의 개인정보를 보호하는 행동에 적극 나서야 한다”고 말했다.

 장윤정기자 linda@etnews.co.kr


브랜드 뉴스룸