민간 금융기관을 통한 정보유출 사고가 터지면서 금융당국은 최고정보보호책임자(CISO) 직책을 도입하고, 최고정보관리자(CIO) 직책과 동급으로 승격시키도록 했다. 하지만 불과 몇달 전만 하더라도 정보 보호 시스템을 관리하는 관리자가 없었던 곳이 대부분이었다.
무엇보다 근본적인 문제는 금융기관들이 보안 시스템 정비나 고객 정보 관리 등 수요 수익사업과 연관되지 않은 사업은 외부 용역을 통해 해결하는 것도 문제다.
수 백조원이 넘는 고객 돈을 다루는 금융기관이 자체 보안 시스템을 구축하지 않는 것은 사고를 키운 가장 큰 요인이며, 외부 용역 직원이 손쉽게 타 금융기관의 정보를 획득하게 되면서 도덕적 해이(Moral Hazard)가 발생하게 된 것이다.
아무리 수준 높은 장비가 있어도 직원이 내부 사람이 아니라면 통제는 불가능하다. 보안 인력을 현재보다 훨씬 더 강화하고 CISO 직책을 강화해야 할 필요가 있다. 현재 대부분의 기업들은 CIO가 CISO를 겸직하고 있어 실효성 있는 제도로 정착되지는 못한 상황이다.
1억건이 넘는 카드사 개인정보 유출 사태가 외부 용역 직원의 일탈에서 비롯된 인재(人災)인 만큼, 수많은 고객의 자금을 관리하는 금융기관은 자체 보안책임자(CISO) 수준을 강화해야 한다.
셋째, 보안인식이 제고돼야 한다.
지난해 발생한 메리츠화재의 경우, 과태료 600만원에 기관 경고에서 끝났다. 보여주기에 그친 것이다. 일벌백계하지 않은 정부의 책임도 크다. 보안에 대한 허술한 인식 상태가 얼마나 심각한지 여실히 보여주는 것이다.
개인정보를 유출한 기관은 국민의 정보를 부주의하게 관리한 것에 대한 징벌적 손해배상 등의 책임을 지도록 만들어야 한다.
이번 사건도 처벌을 강화해 기업들이 경각심을 갖게 되는 계기로 만들어야 한다. 근본적인 해결을 하기 위해서는 보안에 대한 인식을 고쳐먹어야 한다. 기업이나 정부에서는 보안을 위해 들어가는 금액을 '비용'"으로, 보안은 투자로, 이번 일에서 보듯이 보안관리가 허술하면 수백배 더 큰 돈이 들어간다.
보안문제에 대해 인식전환을 이루고 이를 현실에 접목할수 있는 포럼의 필요하다. 정계와 학계, 산업계, 언론계 보안전문가들이 모여 현장의 목소리를 대변하고 정책을 만들어야 한다.
넷째, 인재 막으려면 착한 인재 양성해야 한다.
KB국민카드·NH농협카드·롯데카드에서 발생한 개인정보 유출 사건은 카드회사와 함께 일하는 개인신용평가회사의 직원에 의해 발생했다.
이번 카드사 개인정보 유출은 내부보안에 구멍이 뚫려서 생긴 명백한 인재(人災)로, 기술만 개발한다고 해서 사고가 발생하지 않는다는 것을 여실히 보여준 사건이다. 보안에 있어서 사람의 역할이 얼마나 중요한지 다시한번 일깨워주는 계기로 삼아야 한다.
카드사에서 불법으로 수집한 개인정보 1억400만건을 1650만원에 넘겼다는 것은 기가 찰 노릇이며 보안 담당자의 지위를 개선했다면 막을 수도 있었을 것이다. 이런 사건이 다시 발생하지 않으려면 유명무실해진 정보보호최고책임자(CISO) 제도를 강화해야 한다.
2011년 농협 해킹과 전산망 마비 사태가 발생하면서 2012년부터 총자산 2조원 이상이고 종업원 300명 이상인 회사는 CISO 임원을 두도록 했다. 그러나 CISO를 최고정보책임자(CIO)가 겸직하거나 CIO 아래 두는 등 독립성을 갖지 못하면서 사실상 유명무실해진 형편이다. 보안최고책임자로서 권한과 역할뿐 아니라 보안예산도 증액할 필요가 있다. 우리나라 보안산업은 인재 수급불균형이 심각한 상태"라며 "정보보안 최고경영자과정'을 추가 개설해 인력의 풀을 넓혀야 한다.
7. 결 론
외부 저장장치(USB)하나로 1억건이 넘는 신상정보가 털린 사상 최악의 정보유출 사고가 발생했다. 주민등록번호는 더 이상 나만 아는 번호가 아니란 말이 나올 정도다. 혼란의 시대 내 신용정보를 안전하게 지키려면 어떻게 해야할까?.
이번 사고는 카드사 등 금융사 내부보안관리체가 여전히 미흡하다는 점과 돈이 되는 개인정보 불법 유통 문제의심각성을 다시금 드러낸 사건이다. 금융당국과 수사기관, 관계부처가 공조해 재발방지를 위한 보다 근본대책이 마련돼야 한다.
금융소비자의 개인 정보 관리도 중요하지만, 금융기관의 보안에 대한 인식 전환이 먼저다.
카드 해지, 탈회를 해도 카드사가 개인정보를 폐기하지 않고 보관하고 있다는 점도 문제다. 정부는 카드 해지를 하면 해당 금융사가 개인정보를 삭제하여야 할 것이다. 이번 카드 정보 유출 사건에서도 10년 전 해지했는데도 정보 유출 피해를 보았다는 주장이 나오고 있다.
현재 권고 사항인 ‘금융회사 주민등록번호 암호화’는 반드시 지켜야 할 원칙이다. 지금까지 일부 금융회사는 직원 PC로 고객의 주민등록번호 13자리를 모두 볼 수 있게 허용해 왔다. 또 외부 용역업체 직원에 대한 내부 통제를 강화해야한다.
당국은 금융사 임원이 최고정보책임자(CIO)와 최고정보보호책임자(CISO)를 겸직하는 것도 문제점으로 보고 있다. 정보기술(IT)을 다룬다는 점에서는 업무가 비슷하지만, CIO는 편리함을 강조하고 CISO는 보안에 방점을 두기 때문에 목표가 정반대다. 이에 대한 해결책도 이번 대책에 포함되어야 할 것이다.
기존에 내놓은 ‘징벌적 과징금 제도’ 도입은 예정대로 추진해야한다. 정보 유출 사건에 대해 지금까지의 법원 판결과 행정적 처벌 모두 너무 약했다. 600만 원의 과징금과 주의적 경고에 그칠 것이 아니라 피해 규모에 따라 수백억 원의 과징금을 부과해 개인정보 유출이 얼마나 심각한 문제인지를 알게 해야 할 것이다.
8. 참고자료
정찬모(2012) / 개인정보보호에 관한 국제적 입법동향 및 우리의 대응 / 정보통신정책연구원 / (연구보고서)
이성희(2009) / 개인정보 침해에 관한 조사 연구 / 한국형사정책원구원
신영진(2008) / 신뢰받는 전자정부 구현을 위한 개인정보보호강화 / 행정안전부
최진석(2007) / 한국정보사회론 / 기한재
김종호(2011) / 개인정보 침해사례분석과 방안에 관한 연구
조동기(2009) / 정보화사회에서의 개인의 정체성과 프라이버시 문제 / 서울대학교 사회과학연구소 / 사회과학과 정책연구 제28권 제5호