개인정보관리 이대론 안된다

 또다시 개인정보 유출 사건이다. 아예 사상 최대 규모다. 1081만명의 개인정보가 유출된 옥션 사건 등으로 개인정보 유출의 심각성을 자각하게 된 지 불과 5개월 만의 일이다. 지난 5일 GS칼텍스 내부 관계자 4인이 거액의 돈을 벌기 위해 1100만명의 보너스카드 고객 주민등록번호와 휴대폰번호 등 개인정보를 빼낸 것이다. 과연 이 사건이 악의를 가진 한 명의 범죄자 때문에 일어난 일이라고 할 수 있을까. 가장 큰 문제는 개인정보 유출 대란이 일어난 이후에도 고객의 개인정보에 대한 관리가 허술했다는 점이다. 국내 개인정보 관리 체계와 현실적인 대안에 대해 긴급 진단한다. <편집자주>

 

 7일 경찰은 GS칼텍스의 고객정보를 유출한 혐의로 4명을 검거하고 대략적인 사건 경위를 발표했다. GS칼텍스의 콜센터 운영 자회사의 시스템을 관리하는 C모씨를 비롯한 4명은 기업을 옥션사태처럼 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고 이 같은 범죄를 꾸며왔다.

 이들은 지난 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호·성명·주소·휴대폰번호·이메일주소 등 개인정보만을 추출해 엑셀파일로 저장했다. 사회적인 이슈로 부각시키기 위해 쓰레기 더미에서 발견한 것처럼 꾸며 언론사에 제보하는 등 치밀한 모습까지 보였다.

 이에 앞서 교육청과 NHN 홈페이지에서 개인정보가 대거 유출되는 사고가 발생하기도 했다. 최근 일어난 사건은 모두 옥션 사건과 달리 해커의 소행이 아닌 내부 관계자의 실수나 범죄에 의한 것이라는 점이다. 옥션 사태가 우리나라의 허술한 개인정보관리체계에 큰 경종을 울렸지만, 이번 GS칼텍스 사건은 여전히 개인정보 관리가 허술하다는 점을 여실하게 보여주게 됐다.

 문제는 개인정보 유출이 GS칼텍스만의 문제가 아니라는데 있다. 어느 기업에나 해당될 만큼 개인정보 관리가 부실한데다 인식마저 안돼 있다는 것이다.

 박노현 컴트루테크놀로지 사장은 “대란이라고 할 만큼 개인정보 유출 사고가 잇따라 일어났지만 아직도 홈페이지 회원가입 페이지 소스코드를 보면 수천명의 주민등록번호가 방치되어 있는 사례를 발견할 수 있다”며 “외부 공격에도 대비해야 하지만 가장 큰 문제는 내부적인 관리 부실이 될 수 있다”고 말했다. 또 다른 보안 업계 CEO 역시 “옥션 사고가 발생한 이후 보안 제품에 대해 많은 문의가 있었지만 선뜻 예산을 투자하려는 기업이나 기관은 많지 않아 보인다”고 말했다.

 GS칼텍스 역시 해킹 등에 대비해 보안 시스템을 갖췄지만, 내부자도 이를 빼낼 수 없도록 안전한 관리체계는 갖추지 않았던 것으로 보인다.

 DB에 저장된 정보를 암호화하지도 않았으며, 회사 직원들이 USB저장매체나 노트북에 정보를 저장해 가지고 나가도 제재를 받지 않았다. 이에 대해 GS칼텍스 측은 “인코딩 중이다”라며 입장을 밝혔으나 아직 암호화되지 않았던 것으로 추정된다. 무엇보다 가장 큰 문제는 GS칼텍스가 이러한 문제에 대해 과연 심각성을 갖고 있었느냐 하는 점이다.

 누구나 쉽게 볼 수 있는 엑셀파일로 저장할 수 있었던 점에 대해 네티즌들과 보안 업계 전문가들은 “보안의식이 제대로 안되어 있다는 것을 증명하는 사례”라고 지적했다.

 개인 정보 유출은 그 자체로는 위험하지 않을 수 있지만 이를 악용하면 타깃팅된 범죄가 가능하기 때문에 문제가 많다. 자식의 이름을 거론하면서 사고를 당해 병원에 입원해 있으니 돈을 입금하라는 전화를 거는 범죄형태가 바로 개인정보를 악용한 대표적인 사례다. 이름과 전화번호만 알면 일어날 수 있는 범죄다.

 한 네티즌은 “수십 만명이 소송에 뛰어든 옥션 사태를 보면서 기업들이 개인정보 관리에 주의를 기울이고 있는 줄 알았다”며 “이번 사건을 보니 ‘무개념’이라고 밖에 생각할 수 없다”며 항의글을 올렸다.

 한편 GS칼텍스 고객정보 유출사건이 자회사 직원의 소행으로 드러나자 온라인을 중심으로 집단 손해배상 소송을 위한 모임이 하나둘씩 만들어지고 있다. 인터넷 포털 다음에 따르면 이동국 변호사는 이날 자신의 법률사무소 카페에서 GS칼텍스의 정보유출에 대한 소송인단을 모집한다고 밝혔다. 이 변호사는 “이번 사건은 직원이 불법으로 개인정보를 CD에 복사해 유출한 것으로 이미 발견된 CD 이외에 다량의 CD가 있을 것으로 판단되므로 회원들의 피해 가능성이 농후하다. 승소할 가능성이 크고 배상액수도 더 많을 것”이라고 소송인단 모집 취지를 밝혔다. 이밖에 각 포털 사이트에는 사상 최대의 개인정보 유출 사건과 관련한 시민들의 우려를 반영한 듯 소송모임 개설이 잇따르고 있다. 문보경기자 okmun@