[보안칼럼]개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다

Photo Image
김대환 소만사 대표이사.(소만사 제공)

필자는 데이터보호 전문업체를 28년째 이끌고 있다. 30년간의 데이터 보호 트렌드를 간략하게 요약하면 초기 10년은 산업기밀 유출방지에 초점이 있었다. 모 전자 반도체 핵심기밀 유출사건 등이 배경이 됐다. 웹메일이나 USB 파일복사 등을 통한 기밀정보 유출을 차단하는 솔루션이 첨단기밀 산업체에 도입되는 계기가 됐다.

2008년 이후부터는 고객 개인정보보호가 데이터 보호의 중심에 서게 된다.

2008년 옥션 개인정보유출사고를 비롯하여 연이은 1000만건 이상 유출사고와 2011년 개인정보보호법 제정이 변곡점을 만들어냈다. 기존 개인정보 유출통제뿐만 아니라 개인정보 암호화와 접근통제, 접속기록 관리조치가 강화됐다. 2023년 전면 개정된 개인정보보호법은 형사처벌규정을 대폭 완화하고, 과징금 체계를 강화하는 변화를 이끌어냈다. 특히 중대한 과실이 발생할 경우 전체매출 3% 과징금이 시행됨에 따라 향후에도 개인정보는 데이터보호의 중심축이 될 것으로 기대된다.

개인정보보호의 첫걸음은 '고객의 개인정보는 도대체 어디에 있을까?'에 대한 기본질문에 대해 답하는 것이다. 지극히 당연한 말이다. 보호대상이 어디에 얼마나 있는지 정확히 알아야 보호할 수 있다. 그러나 이 당연한 것을 제대로 수행하는 기관이 별로 없다는 것이 불편한 현실이기도 하다. 회사에서 관리하는 고객개인정보는 데이터베이스 관리시스템(DBMS)에 테이블이라는 형식으로 저장돼 있다. 또는 서버에 파일형식으로 저장돼 있기도 하다. 물론 개인정보 취급자 개인용컴퓨터(PC)에도 다운로드해 저장돼 있기도 한다. 데이터 형식 측면에서 볼 때 텍스트 포맷 뿐만 아니라 이미지 스캔파일로 보관된 경우도 적지 않다. 이처럼 회사에서 운영되고 있는 모든 서버와 단말에는 개인정보가 저장되어 있을 잠재적 가능성이 있다. 그러나 개인정보 현황을 전수검사해 정확하게 파악하고 있는 기관은 10%가 채 되지 않는다.

개인정보보호 컨설팅 프로젝트엔 기관에서 관리 중인 개인정보파일 조사과정이 반드시 포함돼 있다. 이는 컨설턴트와 보안 담당자 인터뷰를 통해 진행된다. 컨설턴트는 개인정보가 얼마나 있는지 고객에게 질문한다. 보안담당자는 자기가 알고 있는 범위에서 최선의 답변을 주는 것으로 조사는 종료된다. 이처럼 형식적인 절차로 마무리된다. 과연 우리 회사에서 관리하고 있는 개인정보파일은 보안담당자가 알고 있는 내용 외에는 없을까?

정답은 예상하는 바와 같이 '보안담당자가 알지 못하는 곳에 수천만건의 개인정보가 여전히 보관돼 있음'이다. 10년 전에는 단일 서버에서 주민번호가(중복포함) 1억건 발견되는 사례도 있었다.

불편한 진실이지만 지금도 현장조사에서 수백만건의 개인정보가 무단으로 저장된 서버를 발견하는 것이 드물지 않다. 암호화, 파기, 유출통제 모두 개인정보가 어디에 있는지 알아야 제대로 할 수 있다.

PC내 개인정보파일 전수검사는 개인정보보호법 시행 13년이 지난 지금은 대부분 완료됐다.

이에 따라 PC내 개인정보파일의 파기, 암호화 그리고 유출통제도 대부분 완료됐다. 그러나 서버는 여전히 무풍지대다.

다행히 금융감독원은 수년 전부터 보안점검 시 서버의 개인정보 보유현황 점검을 포함했다. 금융기관은 DBMS와 파일서버에 저장된 개인정보파일을 전수검사하고 있으며, 이미지 파일로도 범위를 넓히고 있다. 그러나 나머지 기업과 공공기관의 서버 개인정보파일 전수검사 진행은 시작단계에 머멀러 있다. 지속적인 관심이 없는 한, 현재 상태로는 10년 후에도 지금과 큰 차이가 있을 것 같지 않다.

개인정보보호에 있어 가장 근본적인 질문을 다시 한번 던져보고 싶다.

“정말 우리 회사의 개인정보가 어디에 있을까? 개인정보가 어디 있는지도 모르면서 보호할 수 있을까? 우리는 개인정보보호에 대해 정말 관심이 있기는 한 걸까?”

김대환 소만사 대표이사 kdh@somansa.com


브랜드 뉴스룸