정부부처와 지방자치단체가 보유 중인 주민번호 데이터베이스(DB)가 단 한 건도 암호화되지 않아 정보 유출 시 원본이 그대로 노출될 수 있다는 우려가 증폭됐다.
최근 CJ그룹·SK텔레콤·KT·농심 등 민간기업이 고객정보 유출을 막기 위해 DB 암호화를 속속 추진하는 가운데 정보보안을 관리 감독하는 공공기관이 오히려 보안에 무신경하다는 지적이다. 기획재정부와 내년 예산 협의에 돌입한 행정안전부는 주민번호 DB 암호화 관련 예산을 사전 심의에서 제외한 것으로 확인돼 향후 2년간 주민번호 DB의 원본 유출에 무방비 상태에 놓이게 됐다.
14일 행안부에 따르면 행안부 주민과와 전국 지자체가 보유 중인 주민번호 DB에 암호화 기술을 전혀 도입하지 않은 상태다.
행안부 관계자는 “지난 2004년부터 2007년까지 주민번호 DB 시스템을 구축하는 과정에서 암호화를 검토했으나 주민번호와 암호화된 주민번호가 검색 시 매칭되지 않는 기술 문제로 도입하지 못했다”며 “문제를 해결한 2007년 이후에는 예산 반영이 안 됐다”고 밝혔다.
행안부는 특히 내년 예산 수립과정에서 주민번호 DB 암호화 예산을 검토하다 전액 삭감한 것으로 확인됐다.
행안부가 지난 주 국가정보원·방송통신위원회·외교통상부·경찰청 등 범부처가 참여하는 ‘주민번호 유출 근절 대책 수립을 위한 태스크포스(TF)’까지 출범시키며 대외적으로는 개인정보보안에 총력을 기울이는 모습을 보이던 것과 전혀 다른 모습이다.
업계는 암호화가 가장 시급한 주민번호 DB마저 무방비로 방치되는 상황에서 일반 행정DB의 암호화는 전혀 엄두도 내지 못할 것으로 봤다.
실제로 펜타시큐리티·이니텍·이글로벌시스템 등 주요 DB보안업체가 그동안 공공기관을 상대로 DB 암호화 프로젝트를 수행한 건수는 200여개에 불과해 8000개 이상의 공공기관은 DB 암호화 사업을 추진조차 하지 않는 실정이다. 업계 한 관계자는 “공공기관이 DB 암호화를 추진하더라도 기관 전체가 아니라 특정부서가 하는 사례가 많아 전체 DB의 5%를 넘는 일이 거의 없다”고 말했다.
공공기관 DB 암호화를 위한 규정한 법·제도가 미비하고 관리체계가 명확하지 않는 것도 문제다. 지난 4월 국회를 통과한 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 ‘민간 사업자가 개인정보 유출 방지를 위해 기술적 조치를 취해야 한다’는 문구가 삽입됐으나, 공공기관은 대상에서 빠졌다. ‘기술적 조치’라는 표현도 모호하다는 지적이다.
보안SW 업체 한 임원은 “주민번호 등 공공DB 보안에 대한 관리감독책임이 행안부에 있는지, 국정원에 있는지 명확하지 않다”며 “공공기관의 암호화 실태를 파악하고 있는 부처도 전혀 없는 실정”이라고 꼬집었다.
◇용어설명
DB 암호화=해커나 내부 직원이 주요 데이터를 빼낼지라도 알아볼 수 없게 하는 기술이다. 암호화한 주민번호를 유출하더라도 알파벳·숫자 조합 등 알수 없는 기호로 표시된다. 금융사기 등 범죄에 쓸 수 없어 해킹을 당하더라도 2차적인 안전장치가 마련되는 셈이다. 최근 청와대·기획재정부 등 공공기관의 해킹 사고가 잦아져 주민번호뿐만 아니라 국가기밀 DB를 반드시 암호화해야 한다는 목소리가 높다.
장지영·정진욱기자 jyajang@etnews.co.kr