[이슈분석]반복되는 개인정보유출 무엇이 문제인가

밑빠진 개인정보 유출, 악순환의 고리

Photo Image

올해 초 국민·롯데·농협카드가 1억400만건의 개인정보를 유출한 사건이 발생했다. 충격이 가시지도 않았는데 지난 6일 국내 최대 통신사 KT도 고객 1200만명의 정보를 털렸다. 티켓몬스터는 2011년 4월 해킹으로 113만명 회원정보를 유출한 것도 모자라 3년간 사실조차 파악 못했다.

2011년 이후 알려진 개인정보 유출·침해 건수만 해도 약 2억3000만건이 넘는다. 국민 일인당 4회 이상 정보가 유출된 셈이다.

이렇다보니 이제 개인정보는 나의 것이 아닌 공공재라는 말이 회자될 정도다. 민감한 신용정보부터 시작해 전화번호, 주민등록번호, 카드번호와 유효기간, 계좌정보, 주소 등 이미 모든 정보가 유출돼 더 이상 받을 충격도 없다고 말한다. 모든 개인정보를 새로 바꾸지 않는 한 유출된 정보를 이용한 2차 피해 가능성은 항상 존재한다. 우리 사회에 개인정보 유출 사건은 이미 도를 넘어섰다.

◇왜 개인정보유출 사건이 끊이지 않나

1차적인 문제는 개인정보를 수집하는 기업에 체계적인 관리 규정이 없는 것은 물론이고 있다해도 지키지 않는 탓이다. 개인정보 보호를 소홀히 하는 우리 사회 전반적인 문화도 영향이 크다.

개인정보를 노리는 해커와 범죄 집단은 점점 조직화된다. 해킹 도구는 인터넷에서 검색하면 바로 내려 받을 수 있고 전문 해커를 아르바이트 직원처럼 쉽게 구하는 시대다. 개인정보를 파는 오픈마켓이 등장해 쇼핑을 하듯 단돈 몇 천원에 정보를 산다.

신용카드사와 KT·티켓몬스터 사건 모두 업무담당자는 물론이고 경영진의 낮은 개인정보보호 의식에서 비롯됐다. 부실한 내부관리체계와 허술한 보안이 불러온 인재(人災)다. 개인정보 수집과 이용, 제공, 위탁, 파기 등 처리기준이 없고 절차를 미준수하는 등 복합적인 문제를 드러냈다.

신용카드사 유출 사건은 업무 담당자와 시스템 유지보수 위탁 업체 간 관리 부주의가 원인이다. KT와 티켓몬스터는 전문적인 해커가 가담하긴 했지만 기초적인 보안 수칙이 지켜지지 않았다. 1년에 걸쳐 하루 20만~30만명의 개인정보를 빼냈는데 거대 통신사 KT는 알아채지 못했다. 중요 고객 정보가 오가는 홈페이지를 해커 놀이터로 내준 셈이다. 기본적인 웹 보안이 지켜지지 않았으며 주기적으로 취약점을 관리하지 않았다. 고객 정보를 암호화하지 않고 방치해 너무 쉽게 해커에 모든 것을 내줬다.

2013년 개인정보보호 실태조사(안전행정부·개인정보보호위원회 공동수행)에 따르면 기업 등 민간부문에서 개인정보보호 전담부서를 둔 곳은 1.3%에 불과하다. 72.7%는 전담부서가 없으며 95.9%는 예산도 없다.

최운호 UN난민기구 정보보호담당은 “국내 기업 상당수가 개인정보보호 전담부서가 없고 예산도 없다”며 “최고정보보호책임자(CISO)를 두지 않고 있더라고 권한이 좁아 모든 서비스에 정보보호를 적용할 수 없는 구조”라고 꼬집었다.

◇솜방망이 처벌에 실효성 없는 대책

지난해 미국 유통업체 ‘타겟’은 POS 시스템이 해킹돼 고객 신용카드 정보 4000만건과 7000만명의 고객 정보를 유출했다. 이 사건으로 타켓은 기업 이미지에 엄청난 타격을 입은 것은 물론이고 36억달러(약 3조8000억원)에 달하는 벌금을 내야할 위기에 놓였다.

테크크런치는 재무관리 기업 슈퍼머니를 인용해 타겟이 내야할 벌금이 유출된 정보 1건 당 최대 90달러에 이른다고 분석했다. 건당 90달러라는 금액은 카드회사가 벌금을 물리겠다고 공언한 액수다. 타켓은 벌금에 더해 해킹 사건을 조사하는 비용과 사후 대책에 들어가는 돈까지 모두 부담한다. 4개 지방정부가 집단 소송까지 준비 중이어서 타켓은 더 큰 부담을 떠안는다. 해외에서 개인정보 유출 사건은 기업 존폐에 영향을 끼친다.

국내는 솜방망이 처벌이다. 최근 카드3사가 1억건이 넘는 사상 최대 규모 개인정보를 유출했지만 부과된 벌금은 단돈 600만원에 불과했다. 기업 존폐는커녕 1회 광고비도 안 된다. 집단소송을 해서 배상을 받을 수 있을지도 미지수다.

최민희(민주당 의원)이 방송통신위원회에서 받은 ‘개인정보수집 실태조사 결과 행정처분 현황’에 따르면, 최근 5년간 개인정보수집 관련위반으로 방통위로부터 행정처분을 받은 사업자는 구글, EBS, KT, 넥슨 등 738개(중복포함)에 이르며 이들이 받은 과징금과 과태료는 각 각 31억원과 4억원이다.

김승주 고려대학교 정보보호대학원 교수는 “우리나라는 문제가 발생하면 정부에서 너무 많은 대책을 내놓는다”며 “외국은 기업이 알아서 보유한 개인정보에 맞춰 최선의 대책을 세운다”고 설명했다. 기업마다 정보량과 용도가 달라 정부가 일괄적으로 가이드라인을 내놓기 어려운 탓이다. 김 교수는 “외국은 기업이 알아서 보안대책을 세우고 사고가 발생하면 엄청난 규모의 과징금을 부과한다”며 “우리는 정보량과 용도에 상관없이 하향 평준화한 가이드라인만 지키다 피해를 키운다”고 지적했다. 개인정보유출 사고는 급증하는데 기업은 정부에서 하라는 최소한의 보안 대책을 세우고 그마저 지키지 않는 셈이다.

이규정 한국정보화진흥원 개인정보보호단장은 “미국에서 개인정보 유출 피해자 중 75%는 해당 기업과 거래를 끊고 해킹을 당하면 주가가 5%나 빠진다”며 “개인정보보호를 단순히 고객 권익 보호 차원을 넘어 기관과 기업의 생존과 지속가능경영을 위한 필수전략으로 인식해야 한다”고 말했다.

대규모 개인정보유출 사례

[이슈분석]반복되는 개인정보유출 무엇이 문제인가

김인순기자 insoon@etnews.com


브랜드 뉴스룸