홈페이지PDF파일지난호보기

기업윤리
브리프스

2018년
08월호

사례돋보기

사이버테러를 대비하라

대한민국 주민등록번호는 공공재라는 말이 있다. 국내 IT 산업이 활성화된 이후 수천 만 단위의 개인정보 유출사건이 여러 번 터졌기 때문이다. 유출된 개인정보는 음성적으로 거래되기 때문에 추적해서 삭제하기도 여의치 않다. 때문에 우리나라에서 스팸 문자는 일상이 되었고 보이스 피싱도 빈번하게 일어난다. 상황이 이러니 ‘내 주민번호는 사회 공공재’라는 우스개가 나올 법도 하다.

개인정보 유출 수습은 쉽지 않다. 신용카드를 해지해야 하고 핸드폰 번호도 바꿔야 한다. 주민등록번호는 이마저도 쉽지 않다. 한 번 유출되면 바꿀 수 없는 홍채나 얼굴, 지문 같은 생체 정보의 디지털화는 더 문제가 되고 있다. 정부는 물론 기업과 개인이 합심하여 정보보안에 대한 중요성을 인지하고 관련 시스템의 수준과 사회적 인식을 높여나가야 하는 이유다.

◎ 개인정보보호에 실패한 기업들

이름만 대면 알만한 IT 공룡들마저도 개인정보 유출 사태로 인해 뭇매를 맞고 있다. 고객들의 개인정보를 안일하게 취급해왔다는 사실이 드러난 것이다.

공룡기업의 곤욕, 페이스북

올해 3월, 세계 최대 소셜 네트워크 서비스인 페이스북의 개인정보 유출 사건이 터졌다. 사태는 경위가 밝혀지면서 더욱 심각해졌다. 2014년 알렉산더 코건 박사가 페이스북 플랫폼에 배포한 성격 검사 어플리케이션이 페이스북 사용자들의 개인정보를 수집했는데, 이것이 2016년 미국 대선 당시 후보인 도널드 트럼프 캠프에 판매되었기 때문이다. 페이스북 사용자들은 트럼프 선거 캠프에서 5천 만 건에 달하는 개인정보 데이터를 정치적 목적으로 활용했을 것이라며 분개했다. 온라인에서는 페이스북 삭제 캠페인(#DeleteFacebook)이 번졌고 테슬라와 스페이스X의 CEO인 엘런 머스크는 500여만 명의 팔로워를 지닌 페이스북 페이지를 삭제해 버렸다. 영국과 미국 언론은 페이스북에 집중포화를 쏟아 부었고 CEO인 마크 주커버그는 미국 의회 청문회까지 참석하며 곤욕을 치렀다.

페이스북의 개인정보 유출 사건은 기업 신뢰도의 추락에서 끝나지 않았다. 주가는 14% 급락했고 시가총액 약 40조 원이 증발했다. 아마존, 애플, 넷플릭스 등 같은 IT 기업들의 주가도 1.5% 이상 동반 하락했다. 대형 IT 기업들 조차도 개인정보를 제대로 보호하지 못할 것이라는 불신이 시장 전체로 확산 된 것이다. 유니레버, P&G 등 세계 최대 광고주들이 속해있는 영국광고주협회(ISBA)는 정보 유출 사태에 대한 페이스북의 해명이 만족스럽지 못할 경우 광고를 전면 중단할 것이라고 경고했다. 수세에 몰린 주커버그는 페이스북의 실수를 인정하고 재발방지를 위해 노력하겠다며 영국과 미국 주요 일간지에 “죄송하다”는 사과 성명을 냈다.

정보유출 사태와 경영위기, 타깃

타깃은 미국의 대형 유통 업체다. 2013년 추수감사절, 해커들은 타깃 매장의 POS단말기에 악성코드를 유포하여 신용카드, 계좌, 보안코드, 유효기간 등이 담긴 개인정보를 유출시켰다. 무려 4천만 여건에 달하는 막대한 양이었다. 이름, 이메일, 전화번호, 사회보장번호 등을 포함하면 거의 1억 1천만 여명의 개인정보가 새나간 것이었다.

당시 CEO였던 그렉 스타인하펠과 CIO(최고정보관리책임자)였던 베스 제이컵이 이 사건에 대한 책임을 지고 사퇴했다. 타깃은 피해 복구액으로 1억 6천만 달러, 피해 보상액으로 1천만 달러를 지출했다. 법률 비용과 피해배상액을 포함해 무려 1억 7천만 달러, 한화로 약 1,908억 원에 달하는 거액을 고객 정보 유출 사태 수습을 위해 지출한 셈이다.

타깃은 해킹 사건 이후 고객 신뢰 추락으로 장기간 실적 부진에 시달렸다. 비용 절감을 위해 1,700여 명을 구조조정하고 1,400 개의 일자리를 없애겠다고 발표했으며 첫 해외 진출지였던 캐나다에서는 실적부진으로 시장 철수까지 하게 된 것이다.

보안 업체의 정보유출, E사

E사는 종합 소프트웨어 기업이다. 바이러스와 악성코드 등으로부터 PC를 보호하는 프로그램으로 유명하다. 지난해, E사의 고객 정보 유출 사태가 있었다. 유출된 개인정보는 16만 건이었다. 역대 개인정보 유출 사건에 비하면 피해 규모는 작았지만 시사하는 바는 컸다. 국내 대표적인 보안 업체에서의 유출사고는 개인정보보호에 대한 우리 기업들의 안일한 인식 수준을 방증하고 있기 때문이다.

E사의 해킹 사건은 취득한 개인정보를 불법적으로 판매하는 데서 끝나지 않았다. 해커는 빼돌린 E사의 A프로그램 등록정보로 이용자가 가입한 포털 사이트에 접속해 이용자가 저장한 주민등록증, 신용카드, 사진을 확보한 뒤 가상화폐거래소에서 가상화폐를 출금했다. 개인정보 유출이 실제 금전 피해로 이어진 것이다.

방송통신위원회는 E사가 이러한 위험을 방지하기 위한 개인정보 보호조치 규정조차 준수하지 않았다며 과징금 1억 2천만 원, 과태료 1,000만 원을 부과했다.

E사의 A프로그램(가입제 커뮤니티·포털 사이트 ID 및 암호를 기억했다가 재방문시 자동으로 로그인해주는 프로그램. 2012년 4월 4일 서비스가 종료)이 보관 중인 개인정보는 수천 만 건에 이른다. 이와 같은 사건이 또 일어난다면 피해 규모는 상상할 수 없을 정도다. 개인정보보호를 위한 철저한 규약과 시스템 개발이 시급한 이유다.

◎ 정보보호 리스크 대응

한국은 IDI(ICT 발전지수. 국가 간 ICT 발전경로, 디지털 격차, 성장 잠재력 등을 평가하는 것이 목적) 기준으로 전 세계 1, 2위를 다툴 만큼 IT 수준이 높은 나라다. 고도의 정보통신서비스가 일상화되어있는 만큼 개인정보 유출 사고가 터졌을 시 예상되는 피해 규모도 크다. 하지만 아직까지도 사용자들은 특정 인터넷 서비스 이용 시 이메일 주소는 물론 생년월일, 전화번호 등 예민한 개인정보를 모두 제공해야만 한다. 게다가 이 개인정보를 제3자에게 제공하거나 위탁해도 된다는 조항에 동의해야만 해당 서비스를 온전히 이용할 수가 있다. 사용자 입장에서는 불안한 것이 사실이다.


이러한 상황에서 대두된 것이 GDPR(General Data Protection Regulation, 일반정보보호 규정)이다. 2년 전 EU의회에서 통과돼 지난달 25일부터 시행된 GDPR은 인터넷 사용자 보호에 방점이 찍혀있다. GDPR이 적용되면 인터넷에서 신상정보가 이용될 때 그 정보의 제공자는 해당 정보가 어떤 방식으로 왜 사용되어야 하는지 설명을 요구할 수 있고, 일정 목적에 쓰인 정보의 삭제를 요청할 수도 있다. 개인정보를 제공했더라도 다른 업체로 정보를 이전하거나 정보처리 방식에 이의를 제기할 수도 있다. EU의회는 EU국가에 사업장을 보유한 업체는 물론 EU거주 시민에게 온라인 서비스를 제공하거나 시민의 행동을 모니터링하는 기업이라면 예외 없이 GDPR 준수를 요구하고 있다. 이에 따라 GDPR 준수를 위한 소프트웨어를 출시하는 등 기업들의 대응도 발 빠르게 전개되고 있다.

최근 우리 정부 역시 개인정보 유출 피해를 전보다 심각하게 인식하고 있다. 올해 5월 28일, 정보통신망법이 일부 개정되면서 금융회사나 신용정보회사에만 요구됐던 정보유출배상책임보험 의무 가입이 정보통신서비스 사업자에게도 적용된 것이다. 이에 따라 정보통신서비스 사업자들은 손해배상을 위해 보험 또는 공제에 가입하거나 준비금을 적립해야 한다. 이를 이행하지 않을 경우에는 2천만 원 이하의 과태료를 내야 한다.

행정안전부는 개인정보 유출사고를 막기 위한 방책으로 6가지 당부사항을 제시했다.

첫째, 공공기관장, CPO(Chief Privacy Officer, 개인정보보호책임자) 등은 개인정보보호 마인드를 제고한다.

둘째, 안전한 개인정보 보관·관리를 위해 적극적인 투자를 한다.

셋째, 개인정보보호 전담 인력을 배치·교육하고 전문성을 높인다.

넷째, 개인정보 유출 사고의 주요 원인인 해킹 방어에 힘쓴다.

다섯째, 개인정보가 유출됐을 때는 정보주체에게 알린다.

여섯째, 법령 및 고시 제·개정 사항을 지속적으로 모니터링한다 등이다.

◎ 정보보호, 개인의 보안 윤리의식과 시스템이 함께 가야

자물쇠를 달면 도둑으로부터 보다 안전해진다. 하지만 열쇠를 챙겨야 한다는 불편함이 생긴다. 보안성과 편리성은 반비례한다는 의미다. 최근 홍채, 지문, 얼굴 인식이 보편화되면서 보안성과 편리성을 둘 다 만족시키는 기술이 나오고 있지만, 디지털화된 생체 정보 유출에 대한 위험성도 함께 대두됐다. 생체 정보는 유출됐을 경우 삭제하고 다시 생성하는 게 불가능하다. 한 번 유출되면 평생 불안 속에 살아야 할지도 모를 일이다. 기술이 발전할수록 정보보호 관련 시스템 및 규약도 철저해져야 하는 것이다.

대부분의 개인정보 유출 사건은 보안에 취약한 시스템이나 해커의 공격으로 발생한다. 하지만 내부 혹은 위탁 직원의 고의, 관리 부주의로 일어나기도 한다. 시스템의 강화, 정부 정책의 수립 등도 중요하지만 개인정보를 보호하려는 보안 윤리의식 강화야 말로 디지털 시대에 고객의 정보를 지키는 첫걸음일 것이다.

참고자료