사상 최악의 카드사 고객정보 유출사건으로 온 나라가 떠들썩하다. 금융
[시론] IT전문가를 경영에 참여시켜야
당국 발표에 따르면 카드사 개인정보가 유출은 됐지만 유통되지는 않았다고 한다. 그럼에도 국민들은 여전히 불안하다.

금융권의 보안사고는 이번이 처음이 아니다. 사고가 터질 때마다 당국은 종합대책을 내놓았지만 여전히 근절되지 않고 있다. 그 근본적인 이유가 무엇인지 철저히 분석하고 반성해야 한다. 그렇지 않고는 또다시 이런 일이 일어나지 않을 거라고 누구도 장담하지 못한다.

보안의 시작은 ‘어떠한 것도 신뢰하지 않는다’에서 출발한다. 아무 것도 믿을 수 없는 환경에서 우리는 객관적인 검증과정을 통해 신뢰의 가능성을 높여 간다. 이런 과정을 우리는 보안절차라고 부르며, 모든 금융회사는 고객 개인정보에 대한 내부 보안절차를 준수하도록 돼 있다. 카드사 고객정보 유출사건은 이런 내부 보안절차를 준수하지 않은 명백한 인재(人災)에 해당한다.

이번 사건의 과정을 들여다보면 외부인 USB에 대한 통제가 전혀 이뤄지지 않았다. 보안등급제도 제대로 작동하지 않아 암호화되지 않은 원시데이터가 외부인에게 그대로 노출되는 어처구니없는 상황이 발생했다. 더 심각한 것은 이것이 여러 카드사에서 동시에 발생했으며, 범행기간 1년 동안 한 번도 발각되지 않았다는 점이다. 우리나라 카드사 전반에 걸친 안일한 보안의식을 보여주는 사례다.

이번 사건은 유출자가 외부인이라 하더라도 내부에서 직접 유출된 것이어서 그 규모나 피해가 컸다. 금융권의 이런 사고를 없애려면 금융회사가 고객 정보에 대한 내부 보안절차를 제대로 준수하고 있는지 점검할 수 있는 제도적 장치 마련이 시급하다. 고객 개인정보가 포함된 자료에 대한 접근도 접근자의 자격과 직무에 따라 차등화하는 보안등급제를 실시하는 것도 중요하다. 고객정보를 제3자와 무분별하게 공유하는 것도 화를 자초했다. 당국은 앞으로 재발방지를 위해 제3자에게 제공되는 정보를 엄격히 제한하겠다고 밝혔다. 정보수집 과정에서도 금융회사에 꼭 필요한 정보만 보관해서 발생 가능한 피해를 최소화하겠다고 다짐했다. 앞으로 지켜볼 일이다.

한 가지 금융당국이 간과해서는 안 되는 것이 있다. 고객 개인정보 유출 범죄는 끊이지 않을 것이라는 사실이다. 이를 막기 위한 방어수단이 고도화되겠지만 공격 수단도 다양해질 것이다. 특히 기술이나 사회적 환경변화에 따른 새로운 형태의 범죄가 계속 출현할 것이다. 정보보호에 대한 지속적인 관심과 투자가 무엇보다 필요하다는 뜻이다.

일선에 있는 정보기술(IT) 실무자는 발생 가능한 새로운 범죄의 형태와 유형을 잘 인지하고 있다. 그러나 신속한 방어를 위해서 경영진을 설득해 필요한 예산을 확보하고 인력을 확충할 수 있는 위치에 있지 않다. 금융에서 IT의 비중이 높아졌지만 IT 전문가가 의사결정에 참여할 수 있는 기회는 별로 없다. 반복되는 사고를 막으려면 정보보호 인력을 늘리고 IT와 정보보호를 아는 전문가를 경영에 참여시켜야 한다. 그래서 정보보호에 대한 지속적인 투자가 이뤄지도록 해야 한다. 우리는 ‘평화시에 왜 국방비를 쓰느냐’고 묻지 않는다.

지난 22일 금융당국이 발표한 재발방지 대책에 따르면 앞에서 언급한 많은 것을 포함하고 있다. 특히 지금까지의 처벌이 솜방망이였다는 여론을 의식했는지 사회적 파문을 일으키는 정보 유출에 대해서는 최고경영자(CEO)까지 해임하고, 매출액의 1%에 해당하는 징벌적 과징금을 물게 하겠다고 했다. 개인정보 유출에 대한 형벌도 최고 수준으로 대폭 강화하겠다고 했다. 대부분의 대책은 다 나온 셈이다. 이제 실천만 남았다.

오희국 < 한양대 교수·컴퓨터공학 한국정보보호학회장 heekuck@gmail.com >