[개인정보유출 합리적 대안을 찾자](2)있는 기술도 활용 안 해

관련 통계자료 다운로드 침해 사고 대응시스템 개념도

 개인정보를 보호해야 할 주체들이 해킹을 막을 수 있는 기술이 있는데도 제대로 활용조차 하지 않는 것은 물론이고 보안의 기본조차 무시하기 예사다. 정보를 수집하고 활용하는 데는 관심이 많았지만, 비용절감 등을 이유로 해킹을 막기 위한 최대한의 노력은 기울이지 않았다는 것이다.

 정보가 유출되지 않도록 최선을 다한 기업과 그렇지 않은 기업은 차별화해 처벌해야 한다는 주장이 설득력을 얻고 있어 기업과 정부가 개인정보를 보호할 수 있는 기술적인 대비책을 하루빨리 마련해야 할 것으로 보인다.

 ◇무료라도 안 써=해커들이 가장 쉽게 공격하는 대상은 바로 웹 사이트다. 웹 사이트의 취약점을 개선하기 위해서는 일일이 코딩을 다시 해야 하는 불편함이 따른다.

 이러한 불편함을 막기 위해 나온 것이 바로 웹 방화벽이지만, 업계에서는 웹 방화벽 도입률이 10%도 안 된다고 추측했다. 더구나 중소기업을 위해 무료로 사용할 수 있는 공개형 방화벽도 나온 상태지만 도입률은 전체 도입률에도 채 못 미치는 것으로 추정되고 있다.

 데이터베이스(DB)도 암호화했다면 충분히 유출을 막을 수 있었을 것이라는 게 업계 의견이다. DB 자체의 암호화가 부담스럽다면 최소한 유출되면 안 되는 개인정보라도 암호화했어야 했다.

 DB보안 솔루션 전문기업들은 DB 부문만을 암호화할 수 있는 솔루션을 대거 내놓고 있다. 또, 탈퇴한 회원의 정보는 반드시 삭제하고 이 정보가 복원돼서 유출되는 일이 없도록 해야 한다는 주장도 제기됐다. 복원기술이 잘 발달해 있기 때문에 데이터 삭제 전문 솔루션을 도입해야 한다는 것이지만, 포털 등에서 이를 도입한 사례는 거의 없다.

 해커들은 해킹 사실을 감추기 위해 로그데이터를 삭제하는 경향이 있으며, 이때 피해 규모조차 산정하기 어려운 것이 사실이다. 이 때문에 로그데이터 삭제 방지 또는 복원 기술을 활용해야 한다는 것이다.

 이처럼 있는 기술조차 제대로 활용하지 않은 기업 때문에 정보가 유출됐을 때에는 엄벌에 처해야 한다는 주장이 쏟아지고 있다.

 ◇기본조차 안 갖춰=기술 도입뿐 아니라 이를 충분히 활용하지 않고 있는 것도 문제점으로 지적됐다. 한 정보보호 기업 담당 임원은 “공공기관이 해킹당했다고 해서 수습하기 위해 달려가면 의외로 직원들이 기본조차 지키지 않아 발생한 사건을 많이 본다”며 “PC를 켜놓고 퇴근하는 것은 해커들에게 문을 열어놓는 것인데도 이를 잘 모른다”고 말했다.

 최근 개인정보유출 사건이 터지자 안철수연구소 등 정보보호 전문기업들이 대응책을 발표하고 있다. 이 중 첫 번째가 ‘정기적인 보안점검, 모의 해킹, 보안장비 로그 점검 등 전담 인력을 배치해 주기적으로 보안 시스템을 점검해야 한다’는 것이다.

 거꾸로 말하면 보안 시스템을 갖춰놓고는 관리에 소홀한 사례가 많다는 이야기다. 정보보호 업계는 기업·기관들이 중요 데이터의 사전백업시스템을 구축하는 한편 보안 대응을 위한 교육을 수시로 하고, 자체 비상대응 체계를 마련할 것을 당부했다.

 문보경기자 okmun@