2024.05.20 (월)
김종영 편집장 sisacolumn@ciomediagroup.com
이름, 생년월일, 로그인 ID, 비밀번호, 성별, 전화번호, 주소, 휴대폰 번호, 이메일, 회사명, 부서, 직책, 주민등록번호, 비밀번호 질문과 답변, 취미, 종교, 결혼 여부, 기념일, 학력, 신체정보, 직업, 신용카드, 금융계좌, 법정 대리인 정보, 서비스 이용 기록, 접속 로그, 쿠키, 접속 IP 정보, 결제기록, 기타 항목······. 개인정보를 묻는 30개 항목입니다. 웹사이트에 가입하는 경우 대개 10-15개 항목을 넣어야 회원이 될 수 있습니다. 이 정도의 개인정보만 해도 흔히 말하는 ^신상털기^와 다를 바 없습니다. 개인을 표현할 수 있는 가장 중요하고 핵심적인 정보이기 때문입니다. 개인정보보호법을 만든 것도 이 같은 민감한 정보를 보호하기 위한 것입니다. 개인정보보호법 관련 대표적인 법안은 정보통신망법과 개인정보보호법을 손꼽을 수 있을 것입니다. 하지만 대기업에서 개인정보보호를 담당하고 있는 L 임원은 개인정보보호가 쉽게 되지는 않을 것이라고 전망했습니다. 특히 분야에 따라 차이가 크게 날 것이라고 말했습니다. 그가 제시한 이유는 크게 세 가지입니다. 개인정보보호에 대한 경험 유무, 조직원 마인드, 그리고 인력입니다. 경험 측면에서 볼 때 이동통신사와 포털은 개인정보보호에 대한 경험이 있는 반면 금융, 제조, 공공 분야는 경험이 매우 부족해 전체적인 프로세스를 잘 알지 못해 개인정보보호에 대처하는 게 쉽지 않을 것이라고 말했습니다. 그는 "개인정보의 유통과 운용은 일정한 시간이 필요하며, 대체로 1년 이상 걸린다"며 "인증 하나만 해도 정보보호 규제 등을 제정하고 이를 전파한 후 운용하는 데까지는 1년은 걸린다"고 말했습니다. 처음에 정한 규정이 완벽하지 않기 때문에 수정, 개선의 과정은 필수이고 이를 처리하려면 1년 정도는 필요하다는 것입니다. 또 조직원의 마인드로 걸림돌이라고 지적했습니다. 그는 "보안부서와 전담팀을 만든다 해도 조직원들의 마인드가 낮아 협력을 하기 어렵기 때문에 개인정보보호가 말처럼 쉽지 않다. 그래서 아직까지는 CEO의 마인드가 훨씬 중요하며 상향식보다 하향식 정보보호 마인드가 필요하다"고 강조했습니다. 전문 인력 문제도 크다고 했습니다. 보안 담당 인력은 보안만 알아서는 안 된다는 것입니다. 산업별로 차이가 있는 만큼 회사에 맞는 보안 인력을 확보하는 게 중요하다고 했습니다. 더구나 현실에서는 인력을 선발한다고 해도 곧바로 현장에 투입하기도 어렵다는 점을 간과해서는 안된다고 밝혔습니다. ^기술^보다는 ^관리^가 더욱 중요하기 때문입니다. 이 같은 문제에 대해 L 임원은 "보안 사고는 사회공학(Social Engineering) 차원의 문제라는 점을 인식하고 이 시각에서 접근할 필요가 있다"고 말했습니다. IT 시스템이나 기술적 문제가 아니라는 것입니다. 이는 결국 앞에서 말한 세 가지 요소들의 통합하는 것과 직결됩니다. 사회공학이라는 용어를 찾아보니 보안학적 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법을 일컫는 말이더군요. 인간 상호 작용을 이용해 보안 정보에 접근할 수 있는 담당자와 친분을 쌓은 뒤 상대방의 자만심이나 권한을 이용하는 침입 수단입니다. 정보의 가치를 몰라서 보안을 소홀히 하는 무능에 의존하는 것이나 도청 등이 대표적인 수법입니다. L 임원의 지적은 물리적인 시스템이나 기술도 중요하지만 인간적인 보안 또한 매우 중요하다는 사실을 일깨워줍니다. 요즘 들어 CIO와 IT 부서는 개인정보를 효과적으로 보호하기 위한 방안을 찾기 위해 고민하고 있습니다. 하드웨어나 소프트웨어가 아니라 피플웨어가 중요하다는 것, 기술의 문제가 아니라 사람의 문제라는 점도 새겨볼 필요가 있을 것 같습니다. 보안은 제품이 아닌 프로세스라는 점도 분명하기 때문입니다.