개인정보 유출 사고는 포털이나 금융권을 겨냥한 대규모 해킹에서부터 스마트폰에 악성코드를 심어 신상정보를 빼내는 일까지 다양한 방식으로 일어나고 있다. 2005년 이후 주요 기업에서 유출된 개인정보는 약 1억2700만건으로 파악된다. 해킹 등을 통해 유출된 개인정보는 국내 대부업체에 넘겨지거나 중국으로 팔려나가 각종 범죄행위에 악용된다. 이로 인한 피해 규모도 해마다 증가하고 있다. 경찰청 통계에 따르면 `보이스 피싱`은 2006년 6월부터 2013년 6월까지 4만2197건이 발생했으며 피해액은 4420억 원에 달한다고 한다.
개인정보 유출에 따른 명의도용 피해도 계속 증가하고 있다. 지난해 한국인터넷진흥원(KISA)에 접수된 개인정보 도용 관련 민원은 13만9000여건으로 2011년의 6만7000여건과 비교해 볼 때 두 배 이상 증가했다.
개인정보 유출의 심각성은 대형 해킹 사고를 언급하지 않더라도 인터넷 검색창에서 집주소나 연락처 같은 정보를 단순히 검색만 해봐도 쉽게 확인할 수 있다.
이런 이유로 기업은 개인정보보호에 많은 고민을 하고 있지만 쉽지 않은 문제임에 틀림없다. 개인정보 데이터베이스(DB)를 안전하게 관리할 수 있는 방안을 제안해 본다.
우선 기업의 인식이 바뀌어야 한다. 하루가 다르게 빠른 속도로 진화하고 있는 해킹 유형에 맞서 고객정보를 보호하는 것은 비용 지출이 아니라 장기적인 투자라고 생각해야 한다. 법에 명시된 최소한의 보호조치만 준수하면 된다는 생각을 버려야 한다. 일부 기업이 자발적으로 개인정보보호 관리체계(PIMS) 인증을 취득하고 있지만, 20여개에 불과해 아주 미미한 수준이다. 기업 CEO가 직접 보안 관리와 운영에 대해 관심을 기울이고 임원급 최고보안책임자(CSO)를 임명해야 한다.
둘째, 내부망과 인터넷 접속이 가능한 외부망을 분리해야 한다. 최근 대량의 개인정보 유출사고가 지속적으로 발생함에 따라 법 개정을 통해 일정 기준에 해당하는 사업자에 대해 망 분리를 의무화했다. 그러나 의무대상이 아닌 중소·영세사업자도 개인정보보호를 위해서는 망 분리가 필수다. 망 분리의 걸림돌이 되고 있는 비용문제 해결을 위해서는 도입 비용이 낮고 간편하게 설치할 수 있는 논리적 망 분리 솔루션 등이 많이 보급돼야 한다.
셋째, 모든 웹사이트는 보안서버를 구축해야 한다. 인터넷상의 암호화되지 않은 개인정보는 가로채기 등 해킹을 통해 쉽게 유출될 수 있다. 개인정보를 취급하는 모든 사업자는 법에 따라 의무적으로 보안서버를 구축해야 하나 영세한 웹사이트 등은 아직 미흡한 실정이다. 영세·중소사업자 보안서버 투자 촉진을 위해 정부가 지원하고 있는 매칭 펀드 방식에 대해 그 규모와 대상을 확대할 필요가 있다.
넷째, 관리자 계정정보 보안을 강화해야 한다. 최근 개인정보 유출을 목적으로 하는 APT 공격에서는 관리자 계정 탈취가 가장 먼저 시도된다. 피해를 줄이기 위해서는 서버 관리자 계정, 시스템 관리자 계정, VPN 연결을 위한 계정 등에서 ID·패스워드 외에 OTP, 그래픽인증과 같은 2차 인증수단을 도입해야 한다.
끝으로 보안교육을 강화해야 한다. 최근 우리 금융권 등에서 빈번하게 발생하고 있는 해킹 사고의 대부분도 내부 종사자가 조금만 더 주의를 기울였다면 예방이 가능했을 것이다.
앞으로 개인정보 유출 기업에 무거운 법적 책임이 부과될 전망이다. 암호화 조치 등 사업자가 주의 의무를 다 하더라도 개인정보가 유출되면 무거운 과징금을 부과하는 방향으로 정보통신망법이 개정될 전망이다. 법에 앞서 정부와 기업, 개인 모두가 개인정보 유출을 막기 위해 최선의 노력을 다하는 자세가 무엇보다 중요하다.
황중연 개인정보보호협회 부회장 jyhwang@opa.or.kr
