가장 위험한 정보 유출은 해커가 아니라 내부직원에 의해 발생한 사건이다. GS칼텍스 고객 정보 유출 사건은 정보 접근 권한을 가진 사람 관리가 부실했을 때 얼마나 큰 일이 일어날 수 있는지를 여실히 보여줬다.
내부 프로세스를 모두 알고 있는 업무 담당자가 흑심을 품는다면 어떤 보안 대책도 사실상 속수무책일 수밖에 없다. 그러나, 100% 막을 수는 없어도 위험을 최소화할 수 있다는 것이 보안 업계의 중론이다. 법과 제도, 또 기술적인 대책을 통해 유출 사건이 발생하더라도 신속하게 대처할 수 있다.
보안 전문가들은 가장 필요한 것은 정보 흐름을 꿰뚫고 이를 관리할 수 있는 책임자와 조직이라고 지적했다.
이번 사건에서도 콜센터 관리 협력 업체 직원에게 너무 많은 권한을 부여하면서도 관리하지 않았던 점이 가장 큰 실수라는 것이다. 주기적으로 직원들이 얼마나 많은 개인정보를 보유하고 있는 지 체크해야 한다. 그 사이 정보가 유출되었다고 해도 관리가 잘 됐다면 빠른 대책을 취할 수 있다.
관리뿐 아니라 정기적인 윤리 교육도 병행해야 한다. 직원들에게 정보 유출 사건이 얼마나 큰 사회적인 파장을 불러 일으킬 수 있는 일인지 인지할 수 있도록 교육을 실시해야 하지만 이를 제대로 지키는 기업들은 많지 않다.
GS칼텍스 측은 10월 내에 DB 암호화 작업을 마친다고 밝혔지만, 내부자에 의한 유출일경우 암호화는 주요한 대안이 될 수 없다. 암호화는 외부 침입에 대응하기 위한 방법이며, 내부 직원들은 정보를 활용해야 해 암호화되지 않은 정보를 열람할 수 있기 때문이다. 이보다도 교육이 더 효과적이라는 지적이다.
김대환 소만사 사장은 “무엇보다 중요한 것은 보안은 한 곳만 해서는 안되며 고객정보가 흘러가는 흐름을 따라서 일관되게 통합보안해야 한다는 점”이라며 “이를 위해 보안 책임자와 관리 조직이 필요하다”고 말했다.
현재 상용화된 기술로도 충분히 관리할 수 있다. 개인정보 보관 스캐닝 툴을 활용해 주기적으로 직원 PC내 개인정보를 검색하고 중앙에서 관리하는 것이 가능하다. 고객 정보를 DB에 있는 쿼리 툴에서 외부 프로그램으로 복사하는 것도 차단할 수 있는 제품이 얼마든지 나와있다. 보안 USB 기술은 중요 정보를 쓰거나 저장할 경우 관리 대상이 될 수 있으며, 이를 밖으로 가지고 나갈 수 없도록 차단하는 역할도 한다.
기업이 고객 정보를 지키기 위해 최선을 다했다는 점을 증명하기 위해서는 디지털 포렌식 기술을 활용할 수 있다. 아무리 보안 대책을 세웠을지라도 내부자에 의해 또는 외부 해킹에 의해 정보 유출될 가능성이 있다. 유출 경위를 복구함으로써 기업의 책임 정도를 따질 수 있는 것이 포렌식 기술이다.
이러한 대안은 사실상 이미 알려져 있는 것들이다. 대안이 나와있지만 이를 활용하지 않고 주의깊게 관리하지 않은 것이 문제다. 법과 제도가 필요한 부분이 바로 이 부분이다. 고객의 정보를 수집했다면 이를 관리할 책임자가 의무적으로 있어야 하며, 관리 프로세스를 밟을 수 있도록 해야 한다.
옥션 사태 이후로 고객 정보 암호화를 의무화했지만, 이러한 정보통신망법의 규제를 받는 기업들은 포털과 통신사 등 제한적이다.
이외에도 고객 정보를 보유하고 있는 기업들은 부지기수다. 정유사뿐 아니라 백화점·할인마트 심지어 제과점 등에서도 고객 관리를 위해 회원 카드를 발급해 정보를 수집하고 있다. 대기업의 경우는 특히 가입자에게 고객정보 제공을 사실상 강제로 동의하도록 해 이를 계열사간 공유하고 있는 곳이 많다. 법·제도적으로 막아야 한다는 얘기다.
임종인 고려대 정보경영공학대학원장은 “미국과 영국 등의 정보 보안 담당 기구들도 역할은 아주 작지만 지속적으로 정보 관리를 할 수 있도록 권장하고 유도하는 활동을 끊임없이 펼친다”며 “법과 제도 수립 뿐 아니라 감독과 관리도 중요하다”고 말했다.
문보경기자 okmun@