'빨리빨리' 문화에 보안 불감증 열악한 IT개발환경… 최악의 개인정보 유출
1억400만건이라는 사상 초유의 개인정보 유출 사고가 터진 지 50일이 지났다. 이번 사태에 대한 평가는 “차라리 잘 터졌다”는 의견이 우세하다. 개인정보의 중요성에 대한 경각심을 일깨우고 공공연히 행해져 온 관행을 개선하는데 중요한 계기가 됐다는 것이다.
사실 이번 사고는 개인정보 유출을 막기 위한 제도적 장치는 다 갖춰져 있음에도 현장에서 기본적인 규정을 지키지 않아 발생했다.
금융당국은 금융사고가 터질 때마다 IT보안 강화 종합대책(2011년 6월), 금융전산 보안강화 종합대책(2013년 7월) 등을 내놓았지만 금융회사 직원들의 안일한 보안 의식은 범죄자에 허점을 드러냈다.
신용정보업체 코리아크레딧뷰로(KCB)의 한 직원이 카드 부정사용방지시스템(FDS) 개선작업의 용도로 받은 개인정보 실데이터를 보안프로그램이 설치되지 않은 PC를 통해 USB로 절취했다.
전자금융감독규정은 금융사에 대해 전산프로그램 데스트시 실데이터의 사용을 금지하고 이를 변환해 사용하도록 규정하고 있지만 이들 카드사는 실제 개인정보를 변환 없이 용역회사 직원에게 제공했다.
용역직원이 보조기억매체(USB) 등으로 PC에 접근하는 것을 통제하는 USB 통제프로그램을 설치해야 했지만 이를 지키지 않았다.
‘빨리빨리 문화’와 ‘보안 불감증’, ‘IT 인력의 열악한 근무환경’ 등도 원인으로 지적됐다. IT 관련 종사자들은 시스템 가동까지 일정을 맞추려면 밤새 작업을 해야 하는데 규정을 다 지키면서 업무를 수행하려면 기한을 맞출 수 없다고 어려움을 토로한다.
또 최고경영자(CEO)들은 보안을 비용으로 인식하는 경향이 있었고, 금융당국의 IT검사 역시 수박 겉핥기식으로 이뤄지고 있는 것도 문제다.
이번 사태는 그 동안의 정보 유출 사고와 달리 소비자들의 인식 변화와 제도 보완, 시스템 개선 등의 긍정적 효과를 가져 올 것으로 보인다.
먼저 개인정보에 대한 국민들의 인식이 크게 바뀌었다. 그 동안 사람들은 스팸문자나 보이스피싱 전화가 와도 대수롭지 않게 여겼다. 또 신용카드 1장을 새로 만들 때 쓰는 포괄적 개인정보 활동 동의서로 몇 백개 제휴업체에 내 정보가 흘러간다는 것을 인지하지 못했다.
하지만 유출된 정보에 민감한 신용정보까지 담겨 있었던 것으로 전해지면서 금전적인 피해를 우려한 국민들의 충격이 컸다. 금융회사, 통신사, 포털 등에서 개인정보를 요구하면 꼼꼼히 확인하고 텔레마케팅(TM) 전화가 오면 자신의 연락처를 어떻게 알았는지 따져 묻는다.
전에는 대출을 받거나 카드를 발급받으려면 형광펜으로 표시된 곳에만 동의를 해주고도 제대로 설명을 들을 수 없었다. 깨알 같은 글씨로 알아보기 힘들게 적은 약관을 읽어볼 수도 없었고 읽어보지도 않았다.
올해 하반기부터는 카드사들의 ‘묻지마 약관’ 대신 부가혜택 조건, 개인정보 제공 유의사항 등을 한 페이지에 요약한 핵심설명서를 제시하는 것으로 관련 규정이 강화됐다.
앞으로는 금융회사가 수집할 수 있는 필수 개인정보가 최대 10개로 제한되고 고객 정보를 타사에 제공할 때는 개별사에 대해 동의하는 방식으로 변경된다.
또한 금융지주 계열사의 고객 정보를 이용한 외부 영업을 원칙적으로 금지하는 등의 ‘차단막’도 생겼다. 단, 고객 편익 증진 등을 목적을 이사회 승인을 받은 경우에는 예외적으로 허용할 방침이다.
고객 정보 관리를 소홀히 하면 회사가 망할 수도 있다는 위기감이 형성되면서 금융회사의 변화된 모습도 눈에 띈다. 정보 유출 사태 이후 보안에 대한 관리ㆍ감독이 강화되고 있다. 특히 신한ㆍ삼성카드가 고객 정보를 암호화에 정보 유출 사고를 면한 것으로 알려지면서 고객 정보 암호화가 시급한 과제로 부상했다.
업무 처리 속도가 느려진다는 이유로 3000여개에 달하는 금융회사 중 47곳만이 고객 정보를 암호화해 관리하고 있는 실정이다.
금융회사들은 고객정보를 PC가 아닌 인터넷 공간에 저장하는 클라우딩 시스템을 구축하는 등 정보 보안에 심혈을 기울이고 있다.
임종인 고려대 정보보호대학원 원장은 “이번 (개인정보 유출) 사태는 매뉴얼의 문제가 아닌 시스템의 문제”라면서 “내부 통제가 안 된다는 것은 자체 보안 능력이 부재하다는 것을 뜻하며 자체 능력이 부재하면 속수무책”이라고 밝혔다. 이어 그는 “정보 유출에 대비해 우수한 보안 인력을 많이 채용하고 예산도 확보해야 한다”고 강조했다.