2024.05.20 (월)
김홍선
안랩 대표이사
phil_kim@ahnlab.com
전 세계가 개인정보 유출로 인해 디지털 몸살을 앓고 있다. 우리나라에선 최근 1~2년 사이에 금융권, 포털 업계, 게임 업계의 대표적 기업에서 대형 개인정보유출 사고가 잇달아 발생했다. 최근 5년간 주요 기업에서 유출된 개인 정보가 약 1억2000만 명에 이른다고 한다. 이는 우리나라 총 인구 수가 5000만 명을 조금 넘는다고 감안할 때 인구수의 2배가 넘는 피해 규모로 국민 대다수의 개인 정보가 유출됐다고 할 수 있다. 또한 대다수의 사용자가 주요 포털과 금융 사이트에서 동일한 아이디와 패스워드를 사용하는 경우가 많아 2차, 3차 피해로 규모가 더 확대될 수 있다.
해외 역시 개인정보보호 유출 피해에 관련된 논란이 끊이지 않고 있다. 지난해 4월 소니社가 플레이스테이션네트워크(PSN) 해킹을 당해 약 1억 명이 넘는 개인 신상 정보가 유출되어 피해 규모가 1조 원이 넘을 것이라는 전망이 나오기도 했다.
각종 보안사고 및 사이버 범죄에 대한 언론 보도를 통해 과거에 비해 개인정보 보호의 중요성에 대한 인식이 크게 높아진 것은 사실이다. 정부도 개인정보보호법 시행을 통해 보안 강화 활동에 적극 나서고 있다.
그러나 이러한 노력에도 유사한 사건이 계속해서 터지다보니 우리 사회가 개인정보 유출에 조금은 무뎌지고 있는 듯하다. 또한 유출된 정보가 직접적인 피해로 나타나기까지 일정 시간이 걸리기 때문에 우리 사회가 개인정보 유출의 심각성과 위험성을 크게 인지하지 못하고 있다는 생각이 든다.
날이 갈수록 개인정보 유출에 따른 보안 사고는 대형화, 지능화해 개인의 일상생활의 안전을 위협하는 물리적인 피해까지 일으키고 있다. 기업이나 기관으로부터 유출된 개인 정보는 국내 대부업체에 넘겨지거나 중국, 동남아 등지로 팔려나가 범죄에 이용된다고 한다. 지난해 보이스 피싱 등의 전화 금융 사기의 피해액이 1000억 원을 넘었다. 금융 범죄를 목적으로 하는 공격이 나날이 조직화, 글로벌화 되는 추세인 것이다.
기업 역시 개인정보 유출 피해에 따른 대규모 소송이 잇따르며 생존의 위협까지 받고 있다. 피해자 보상에 따른 금전적 손실을 입는 것은 기본이고, 고객 정보를 소홀히 다루는 기업이라는 오명을 쓰면 고객의 신뢰가 떨어지고 결국 충성 고객이 떠나가 조직 전체가 존폐 위기를 겪게 되는 것이다.
개인정보 유출로 인한 피해 증가와 기업 책임에 대한 부담 그리고 개인정보보호법의 시행으로 인해 최근 들어 어느 때보다 개인정보보호에 대한 기업들의 관심이 늘고 있음을 실감하고 있다. 하지만 여전히 개인정보보호법의 적용 범위가 어디까지인지 개인정보보호법을 준수하기 위해 어떤 방안을 마련해야 하고 어떠한 조치를 해야 하는지 정확히 아는 기관이나 기업이 많지 않아 보인다.
개인정보보호법은 공공기관, 대기업, 소규모 사업장이나 비영리 단체까지 광범위하게 적용된다. 개인정보 불법 유출 시에는 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과되며, 개인정보 유출로 인해 피해자가 생겼을 경우 그 규모에 따라 엄청난 손해배상 책임이 뒤따른다.
개인정보 유출을 방지하려면 조직 구성원 각자의 철저한 보안 의식과 실천이 필수적이다. 지능적 범죄를 IT 보안 담당자의 노력만으로 해결할 수는 없기 때문이다. 그러나 기술 관련 부서가 아니고서야 모든 직원이 이해하기조차 힘든 기술을 스스로 적용해 관리한다는 것도 현실적으로 어려움이 많아 보인다. 따라서 모든 직원이 실천할 수 있는 가이드라인을 만들어 교육하고 일상에서 실천할 수 있도록 전사 차원의 노력이 필요하다. 아울러 법에서 제시하는 전문 관리 시스템을 갖추고 운용하는 것을 병행해야 한다.
이처럼 개인정보보호 시스템을 강화하기 위해서는 개인정보보호법의 필수 항목인 기술/관리적 조치가 모두 필요하다. 즉, 정보 암호화, 패치 관리, 악성코드 대응의 3대 기술적 조치를, 개인정보노출 점검, 개인정보 자가 진단 등의 관리적 조치를 취함으로써 개인정보보호법을 준수할 수 있다.
관리의 기초 단계는 백신 프로그램 설치이다. 최근 금전적 이익을 목적으로 개인정보를 탈취하는 악성코드가 빠르게 증가하고 있다. 악성코드의 공격 형태 또한 공유 폴더, 보안 패치 미적용, 윈도우 계정 암호, USB 자동 실행 등의 취약점을 이용한 복합적 형태로 진화하고 있다. 악성코드로 인한 기업 내 피해를 최소화하기 위해서는 개별 PC에 보안 제품 설치뿐 아니라, 기업 내 PC 보안 관리가 절실하다.
빠르게 변화하는 보안 위협에 능동적으로 대처하기 위해서는 효율적인 패치 관리도 중요하다. 기업 내에서 사용하는 운영체제(OS)나 애플리케이션의 취약점이 누적되면 그만큼 기업이 위협에 노출되는 범위와 수준도 높아지기 때문이다. 그러나 대부분의 기업이 사내 모든 운영 시스템과 애플리케이션의 패치 현황을 파악하고 관리하는 데 어려움을 겪는다. 때문에 전문 패치관리 솔루션을 통한 관리가 필요하다.
마지막으로 개인정보의 수집부터 보관, 파기까지 ‘개인정보 라이프 사이클(Lifecycle)’에 따른 적절한 관리 및 조치가 있어야 한다. 기업이 보유한 개인정보가 무엇인지 파악하고 식별해 불필요한 파일은 삭제하고 필요한 정보는 암호화해야 한다. 또한 부서별, 직원별 개인정보 관리 현황을 집계하고 통제할 수 있는 관리 솔루션이 필요하다. 각 직원의 PC 내 개인정보와 관련해 담당자뿐 아니라 중앙에서 즉시 조치할 수 있어야 하기 때문이다.
개인정보 유출이 개인에게 피해를 줌은 물론 기업의 생존에도 위협이 될 수 있는 만큼 컴플라이언스 준수를 위해 다각도의 대비가 필요한 시점이다.
김홍선
서울대학교 공과대학 전자공학과 학사 및 석사를, 파두대학교 전기공학부 컴퓨터공학 박사를 받았다. 텍사스주립대 연구원, 카네기멜론대 기술경영과정을 수료했다.
삼성전자 컴퓨터사업부, 미국 TSI사 Business Development, 시큐어소프트 설립 및 CEO, 유니포인트 고문을 지냈다. 안철수연구소(안랩) 기술 고문, 제품기술연구소장, CTO를 거쳐 2008년 10월부터 현재까지 안랩 CEO로 재직하고 있다.
한국정보보호산업협회(KISIA) 공동 설립 및 2, 3대 회장, 한국인터넷기업협회 부회장, 벤처기업협회 이사, 한국정보처리학회 이사, 한국정보보호학회 이사 등을 역임했다. 성균관대, 강원대, 한양대, 고려대 정보경영대학원 등에서 강의와 겸임교수를 역임했다.