“정말 어처구니 없다.”
GS칼텍스 고객 정보 유출에 수 많은 국민들의 반응이다. 허탈감·분노의 이유는 ‘또 다시’ 반복된 사건이라는 것이다. 숱한 사건 이후 정부는 개인정보보호법 제정, 주민등록번호 대체수단 도입 의무화 등의 대책을 내놓았다.
기업들도 마찬가지였다. 그룹 총수들은 특별히 고객 정보가 유출되지 않도록 월례 회의때마다 지시를 내릴 정도였다. 그럼에도 불구하고 개인정보 유출 사건은 재발됐다. 숱한 빈틈이 있음을 증빙하는 것이다.
보안업계는 이에 대해 분위기는 조성됐으나 실질적인 조치로까지 이어지지는 않았다고 지적했다. 기업들이 저마다 개인정보보호 점검에 나섰지만, 정작 정보를 관리하고 보호할 인력을 대폭 충원하고 인프라를 도입한 사례는 찾아보기 힘들다.
내부 정보 유출의 가능성은 수년 전부터 제기됐지만, 이를 막을 수 있는 보안 솔루션을 선뜻 도입한 기업들은 많지 않다. 검토는 많았지만 막상 지갑을 여는 기업들은 흔치 않다는 것이다. 유통업계의 무선보안문제만 해도 정부의 권고안을 따르지 않을 경우 불과 수천만원의 벌금이 부과되지만 인프라 도입 비용은 수십억 원을 넘어선다.
한 보안업계 관계자는 “GS칼텍스도 보너스카드 개인 정보 유출을 우려해 개인정보를 대체하면서도 본인을 확인할 수 있는 지문 인식 카드로 교체할 것을 검토했던 것으로 안다”며 “결국 예산 부족과 사용자들의 불편함 등을 이유로 폐기한 것으로 들었다”고 말했다.
공공기관도 마찬가지다. 지난 4월 1일자부터 공공기관은 USB를 도입할 때 의무적으로 보안USB를 도입해야 하지만, 6000여개의 기관과 자치단체 중 도입한 곳은 40여 곳에 불과했다. 특히 예산절감과 맞물려 보안 인프라 투자는 제자리 걸음을 걸었다.
정부가 내놓은 보안 대책과 논의도 사실상 겉돌고 있다. 개인정보보호법 제정은 이를 관리하고 감독할 위원회 주체가 누가 되어야 하는지 싸우는 통에 진전을 보이지 못하고 있다. 게다가 정부 입법과 별도로 이혜훈 의원 등 의원 입법까지 추진되는 상황이어서, 이를 병합해 법제화하려면 제정시기는 더욱 늦춰질 것으로 보인다.
행정안전부·방송통신위원회·지식경제부가 중기 정보보호 대책을 수립하고 공통으로 발표했지만, 과제별 이행 주체를 누가 맡을지 결정을 못해 담당이 이리저리 뒤바뀌는 형국을 맞았다. 게다가 이를 이행할 수 있는 예산조차 확보하지 못해 실효성에 의문이 제기됐다.
사람에 대한 투자가 뒷전인 것도 문제고 인식도 마찬가지다. 당장 1.25대란 이후 정보보호 인력 양성의 주축이 됐던 대학IT연구센터(ITRC) 정보보호 대학도 내년부터 5개에서 1개로 줄어들 위기에 처했다. 내부단속을 위한 윤리 교육도 사실상 없었던 것으로 보인다.
기업의 1급 기밀인 중요한 설계 도면과 기술에 대해서는 밖으로 유출되지 않도록 각종 장치를 마련하고 윤리교육을 실시하지만, 이에 비해 고객 개인정보는 뒷전이었다는 지적이다.
고려대 임종인 교수는 “보안 문제는 사실상 내부 직원들을 어떻게 관리하느냐가 관건”이라며 “교육과 함께 이들의 책임을 명확하게 규명할 수 있는 디지털 포렌식 도입이 시급하다”고 말했다.
문보경기자 okmun@