인식 확 바꿔라… "고객 개인정보는 최고 기업비밀"
개인정보 무관심한 세태 바꾸는 '반면교사' 삼아야
[ 김봉구 기자 ] "이번 사태는 해킹보다 더 심각한 겁니다. 해커의 고난도 수법에 뚫린 게 아니잖아요. 변명의 여지없이 관리·감독절차 자체가 소홀했던 거죠. 유출 과정을 살펴보면 개인정보 보안의 기본원칙도 안 지켰습니다. 금융사가 이렇게 고객 개인정보를 함부로 다룰 수 있나, 과연 보안전문가가 있긴 했나 싶을 정도예요."

[전문가에게 듣는다] 오희국 정보보호학회장 "금융정보 유출 사건, 해킹보다 심각"

정보보호 전문가도 사상 최악의 개인정보 유출 사태를 비켜가지 못했다. 21일 안산의 캠퍼스 연구실에서 만난 오희국 한국정보보호학회 신임 회장(한양대 교수·사진)은 "확인해 보니 제 개인정보도 유출됐다"며 씁쓸하게 웃었다.

대통령부터 금융 당국 수장까지 이토록 심하게 '털린' 이유는 뭘까. 개인정보 암호화·알고리즘 같은 기술적 문제 이전에 금융사들이 최소한의 보안 작업도 없이 외주업체에 '생짜 데이터'를 넘겼기 때문이란 설명이다.

이번 사태의 장본인 코리아크레딧뷰로(KCB) 직원 박모 씨는 KB국민카드·롯데카드·NH농협카드 3사 고객 개인정보를 USB에 담아 대출 알선업자들에게 팔아넘겼다. 카드사들은 검찰이 알릴 때까지 1년 넘게 유출 사실조차 몰랐다. 원초적 관리 부실은 허탈함을 넘어 배신감까지 부를 정도라는 것.

오 회장은 금융사의 안이한 태도가 가장 큰 문제라고 지적했다. 그는 "기업 비밀이라면 그렇게 허술하게 다룰 수 없는데, 사실 금융사 최대 기밀은 고객 정보 아니냐"고 꼬집었다. 금융사들이 개인정보 보호 인력이나 인프라 투자에 인색한 점을 빗대어 "평시라 해서 제대로 국방비를 안 쓰는 셈"이라고도 했다.

그는 "검찰 발표대로라면 엄청난 개인정보가 유출되긴 했지만 유통까지 되지는 않아 그나마 불행 중 다행"이라며 "정보보호에 무관심한 세태를 바꾸고, 개인정보의 중요성을 확실히 인식하는 '반면교사'의 계기로 삼아야 할 것"이라고 강조했다.

- 개인정보 유출, 어느 정도 심각한 일인가.

"우려나 심각성은 언론에 나오는 그대로다. 이번에 터진 유출 사고는 예전 사건과는 다르다. 해커가 고난도 수법으로 서버에 들어와 정보를 가져간 게 아니다. 외주업체 직원이 들어와 뭉텅이로 개인정보를 빼내간 것 아닌가. 해킹보다 더 심각한 관리 절차 소홀이다. 금융사가 고객 정보를 소중하게 생각했다면 이렇게 함부로 다룰 수 있을까 싶다."

- 정보 유출 여부 확인 후 카드 재발급 숫자가 엄청나다. 불안감이 커지고 있는데.

"저도 궁금해서 조회해 봤더니 개인정보가 다 털렸더라. (웃음) 국민카드를 사용 안 한 지 10년쯤 됐는데도 정보가 유출됐다. 공식 발표는 '개인정보가 유출은 됐지만 유통은 되지 않았다' 이렇게 나오는데 사람들이 잘 못 믿는 것 같다. 유출 사실을 눈으로 확인하지 않았나. 2차범죄를 걱정하는 건 어찌 보면 당연한 일이다."

- 사건의 심각성과는 별개로 지나친 걱정이란 얘기도 있다.

"일단 CVC(인증코드)까지 유출되진 않았다는 건 2차범죄가 일어날 가능성은 적다고 볼 수 있다. 다행이다. 하지만 금융사고가 결국 개인정보를 이용해 일어나는 것이지 않나. 간단히 말하면 다른 사람이 나인 것처럼 보일 수 있는 여러 정보가 빠져나간 것이다. 카드 비밀번호 빼면 거의 다 유출됐다는 건데, 각종 인증 절차에 악용될 소지가 있다. 예컨대 전화대출 사기 등에 직접 노출될 것이다."

- 그간에도 수차례 유출 사태가 있었는데.

"앞서 말했듯 이번 사태는 예전과 다르다. 관리·감독절차 결함인데, 그래서 더 문제가 있다고 본다. 개인정보가 흘러나가게 된 경위를 잘 보자. 소프트웨어 개발 테스트를 위해 고객정보 자료를 준 건데, 말 그대로 '생짜 데이터'를 내준 거다. 말이 되나."

- 해킹보다 더 심각하다는 것인가.

"그렇다. 기술적 결함에 앞서 기본적으로 회사가 고객 정보를 소홀하게 다룬 것이다. 어찌 보면 간단한 문제다. 데이터 테스트 할 때 개인정보를 지우고 제공하면 된다. 그 정도 노력도 안했다는 것이다. 금융사에 보안 관련 전문가가 있었다면 이 정도까지는 아니었을 텐데 놀랍다. 전체 프로세스에 대한 관리·감독이 거의 이뤄지지 않았다는 말밖에 안 된다."

- 보안이 그만큼 취약했다는 얘기인데.

"기업 비밀이라면 그렇게 함부로 다루지는 않았을 것이다. 카드사에게는 가장 중요한 기업 기밀이 고객 개인정보 아닌가?"

- 태도의 문제만은 아닐 텐데, 보안 인력이나 시스템이 그렇게 형편없나.

"2010년 기준 금융감독원 자료를 보면 5개 카드사 정보보호 예산이 총 13억2700만 원이었다. 은행도 마찬가지다. 16곳 예산을 통틀어 34억300만 원에 불과했다. 금융사 전체 예산 가운데 정보보안에 투자하는 비중이 채 1%도 안 될 것이다."

- 왜 그런가.

"정보보호를 부가서비스 개념으로 인식해서 그런 것 같다. 금융사 입장에서 보면 돈이 되는 건 아니니까. 그러다 보니 아무래도 소홀히 한 셈인데, 다르게 봐야 한다. '평시에 왜 국방비 쓰냐'고 얘기하진 않는다. 오히려 이렇게 사건이 터지고 보면 더 큰 피해가 돌아오지 않느냐. 개인정보 보호에 대한 근본적 인식 전환이 필요한 부분이다."

[전문가에게 듣는다] 오희국 정보보호학회장 "금융정보 유출 사건, 해킹보다 심각"

- 22일 정부가 재발방지대책을 발표한다. 어떤 내용이 들어가야 하나.


"지난해 7월 이미 '금융전산 보안 강화 종합대책'을 발표했다. 최고개인정보책임자(CISO) 업무를 보장하는 등 대책 자체에 빠진 점이 많거나 하진 않다. 결국 제대로 실천하느냐의 문제다. 금융사가 얼마나 인식을 바꿔 정보보호에 투자할지가 중요하다."

- 징벌적 과징금 부과 등이 논의되고 있다. 사후적 대책이 아닌 근본적 재발방지책은.

"비용이 들지만 기술적 방법으로는 데이터베이스(DB) 암호화가 있다. 제대로 암호화 돼 있으면 개인정보가 유출돼도 악용되는 것을 막을 수 있다. 이번엔 암호화 안 한 상태에서 유출돼 문제가 커진 것이다. DB 암호화가 솔루션이 될 수 있지만 사실 거기까지 안 가도 된다. 금융사가 절차적 관리만 제대로 해도 이렇게 개인정보가 쉽게 털리지는 않는다."

- 탈퇴하면 개인정보를 자동삭제 하는 등의 방안이 필요하지 않을까.

"그 부분은 정부에서 대책을 내놓을 것인데, 어쨌든 금융사 간 무분별한 정보 공유나 DB화는 문제다. 정부 발표 대책을 보면 방향을 가늠할 수 있을 것이다. 개인 차원에서 할 수 있는 일은 해야 한다. 예를 들면 주민등록번호를 자신의 인증 수단이 아닌 단순 ID 정도로 생각한다든지. 최대한 유출된 정보를 안 쓰는 노력이 필요하다. 더 이상 비밀이 아니니까."

- 기본적으로 개인정보를 과도하게 요구한다는 지적도 있는데.

"맞다. 크게 필요가 없는 곳에도 주민등록번호 등의 개인정보를 요구하는 경우가 많았다. 약관 같은 것도 너무 길어서 사람들이 잘 안 읽고. 마케팅 필요에 의해 개인정보를 수집하는 관례는 지나치게 기업의 관점이 반영된 것이다."

- 유출 여부를 조회해 보고 놀랐다. 당사자도 잘 모르는 대출 내역 같은 정보까지 흘러나갔다.

"사실 대부분 사람들이 개인정보에 대해 굉장히 무관심했다. 이번에 놀랐을 거다. 신용등급이라든지 스스로도 모르는 고급정보가 유출될 수 있다는 걸 알았으니까. 정보가 유출은 됐지만 유통은 안 됐다고 하는 게 사실이라면, 사람들의 경각심은 크게 일깨우면서 실제 피해는 그렇게 크지 않았다고 볼 수 있다. 그나마 불행 중 다행이다."

- 이번 사태를 계기로 개인정보에 대한 인식이 크게 바뀔 것 같다.

"카드 3사는 힘들겠지만, 국민적으로 개인정보의 중요성을 절감하는 계기가 된 것 같다. 모든 사람이 개인정보가 중요하고 함부로 다뤄선 안 되는 것이란 생각을 하게 됐다. 개인정보 보호에는 인식 제고가 아주 중요하다. 개인정보란 게 체인(사슬) 같은 개념이라, 10명 중 9명이 정보보호를 철저히 해도 1명이 소홀히 하면 그 약한 곳이 뚫리게 돼 있다."

- 반면교사로 삼을 수 있겠다.

"그렇다. 갈수록 모든 정보가 전산화되는 추세다. 개인정보 보호 문제에 대한 기업과 사람들의 인식을 환기하고, 앞으로 더 이상의 큰 사고가 나지 않게 예방하는 차원에서 이번 사태를 전환점으로 삼을 수 있을 것이다."

- 학회 차원에서 노력할 일도 있을 듯한데.

"4월에 미래창조과학부 지원을 받아 한국인터넷진흥원과 공동으로 'Net Sec-Kr(네트워크 시큐리티 코리아)' 콘퍼런스를 개최한다. 올해로 20년째를 맞는 학회 행사다. 학계뿐 아니라 정부·기업·연구단체가 함께 모여 정보보호 문제를 다룬다. 정보보호 문제가 이슈가 된 만큼 '서비스가 잘 되려면 튼튼한 보안은 기본'이란 인식을 확산시키는 데 주력하겠다."

안산= 한경닷컴 김봉구 기자 kbk9@hankyung.com
기사제보 및 보도자료 open@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지