“어이가 없네”.
영화 ‘베테랑’의 유행어를 기억하는지. 조금 강하게 시작했지만, 분야를 막론하고 연이어 터지는 개인정보 유출 사고를 접하는 대다수 국민들의 심정이 이렇지 않을까 싶다.
2021년 개인정보 유출 신고 공공기관 수는 22건, 유출 건수는 21만3천여건에 달한다고 한다. 멀리 갈 것도 없이 가장 최근에는 16개 지자체가 개인정보보호법 위반으로 제재를 받았고 지난달에는 한 공공기관이 이벤트 당첨을 알리는 게시물에 개인정보가 고스란히 담긴 파일을 첨부해 큰 논란이 됐다.
지난해 개인정보보호 실태조사에서 1천500개 기업 가운데 99.3%가 ‘개인정보 처리방침이 있다’고 나타난 공공기관의 현실이 이렇다 보니, 3천개 기업 중 23%인 700여개 기업만이 개인정보 처리방침을 갖추고 있다고 답한 민간 기업의 상황은 더 심각하다.
민간 사업자·정보통신서비스 제공자의 2021년 개인정보 유출 신고 기관 수는 141건, 유출 건수는 969만8천여건이다. 어림잡아 2~3일에 한 곳에서 개인정보 유출 사건이 터지는 셈이다. 허위·중복 신고 건수가 포함돼 있다 쳐도 유출된 내용이 이름·연락처·주민번호·패스워드 등 민감 정보인 만큼 2차 피해 발생도 우려된다.
무엇이 문제일까. 원인은 분절적이고 단편적인 개인정보 보호와 보안 정책이다. 많은 기관과 기업의 보안 정책 관리자들이 개인정보 보호와 보안 정책의 중요성을 인식하고, 내부 중요 시스템 보안 정책 마련으로 체계적이고 빈틈없는 보안을 위해 노력하고 있다. 하지만 상대적으로 중요하다고 분류되지 않은 부분, 예를 들면 지난달 사고가 일어난 홈페이지 게시판 같은 관리 사각지대에서 개인정보 유출 사고나 보안 위반 사례가 빈번하게 발생되고 있다. 대부분 개인정보가 위치하는 내부 시스템의 보안 정책과 개인정보에 접속한 사용자 위주로 관리를 강화하고 있으나, 'DMZ 구간'이라고 불리는 대외 서비스 망에 위치한 대외 시스템의 보안 정책이 상대적으로 느슨하다.
보안 관리가 덜한 이유는 이 구간에 저장된 개인 정보가 없기 때문일 것이다. 개인정보가 없는 시스템이라고 간과하지만, 유출 사고가 일어나는 것은 내부 구성원의 낮은 보안 의식에서 기인한다. 보안 정책 강화로만 보안을 완성할 수는 없다. 게시판 관리, 출처가 불분명한 이메일 클릭, 이메일 발송 실수처럼 보안 담당자가 미처 관리하기 어려운 곳에서 개인정보 유출 사고가 빈번하게 나타나는 이유다. 여기에 더해 계정 패스워드 관리 소홀, 잘못된 접근 권한 설정 등 안이한 관리로 인한 잦은 개인정보 유출은 어제 오늘 일이 아니다.
올해 상반기, 금융 기업 2곳에서 일주일간 비슷한 종류의 개인정보 유출 사고가 연이어 발생했다. 근본적인 대책이 마련되지 않다 보니 비슷한 사고가 반복된다. 정책 및 솔루션 간 중복과 혼선에 의해 비효율적인 보안 관리로 인한 허점이 생기기도 한다.
이에 따라 보안업계는 통합적인 관리로 보안 가시성을 높이면서 내부 구성원의 안전한 선택을 유도하는 다양한 솔루션을 통해 개인정보 보호를 위한 해결책을 제시하고 있다.
예를 들어 내부 구성원이 개인정보에 잘못된 경로로 접근하는 경우 자동으로 해당 구성원에게 소명 요청을 보내고, 실수로 개인정보가 포함된 게시글을 대외 서비스에 업로드하는 경우 자동으로 차단해 경각심을 일깨운다.
개인정보만 탐지해서 암호화 처리하거나 접속기록을 관리하며, 이상징후를 예측하고 다양한 서비스에서 발생한 데이터를 하나의 대시보드로 통합 관리할 수 있도록 해서 정보보안 담당자의 편의성을 높이고 정보보안으로 인한 내부 구성원의 업무 불편을 최소화 하면서 보안 사각지대를 줄이기도 한다.
하지만 대다수 기업에서는 아직도 정보보안 시스템에 대해 업무를 번거롭게 하는 ‘걸림돌’로 여기는 듯 하다. 한국인터넷진흥원에 의하면 2020년 개인정보 유출사고나 정보보안 침해사고를 겪은 기업의 74.3%는 사고 발생 시 보안 솔루션을 도입하지 않은 상태였다고 답했다. 조사 후 2년이 지난 지금도 개인정보 침해·유출 사고가 꾸준히 발생하는 것을 보면 이 수치는 많이 개선되지 않은 모양이다.
개인정보 보호는 고객 신뢰의 기본 바탕이며 고객 신뢰는 기업 도약을 위한 ‘디딤돌’이다. 내년 사업 계획을 세울 때 관련 보안 예산을 반드시 잡고, 내부 보안 교육도 체계적으로 시행할 것을 제안한다. 잇따라 터지는 개인정보 유출 사건 사례를 ‘설마 우리에게’하며 흘려 보내지 말고, 내부의 개인정보 처리 시스템부터 대외 서비스 시스템까지 보안 구멍은 없는지 다시 한 번 점검하는 계기로 삼길 바란다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
