최근 국내 유명 백화점 등에서 650만명의 개인정보가 유출된 사태가 벌어진 가운데 정부가 개인정보를 보유한 기업들의 해킹 여부에 대해 대대적인 조사에 나선다.
정부 관계자는 11일 ”650만명의 개인정보가 유출된 것은 심각한 일로, 전반적으로 개인정보를 보유한 기업들에 대한 실태를 파악할 필요가 있다“면서 ”내달께 행정안전부가 방송통신위원회 및 경찰청과 협조해 기업들에 대한 조사에 나설 계획“이라고 말했다. 이번 조사는 주민번호, 아이디, 비밀번호 등 개인정보를 보유해 관리하는 업체들을 대상으로 서버와 보안시스템 등을 조사해 해킹을 당했는지 여부 등을 파악하는 방식이 될 전망이다. 조사 대상 업체에 대한 기준은 아직 정해지지 않았으나, 정부 측은 가입 회원이 100만명 이상인 기업들을 상대로 조사를 벌이는 방안을 검토하고 있다.
다만 정부 측은 조사 목적을 적발 이외에 계도와 점검에 중점을 두고 기업들이 스스로 서버 보안 등 보안 상황을 점검할 수 있는 기회로 활용할 수 있도록 할 방침이다. 이 관계자는 ”업체가 해킹을 당해 개인정보가 유출됐을 경우, 이를 인지한 뒤 자진신고를 하지 않으면 정보가 유출된 개인은 정보 도용을 통한 피싱 등의 추가 피해를 입을 수 있기 때문에 자진신고는 필수적“이라고 강조했다.
기업이 자진신고를 하지 안을 경우 정보가 유출된 개인이 피싱 등에 대해 경각심을 가질 수 없는데다, 아이디나 비밀번호 등을 변경하지 않아 2차 피해를 입을 수 있다는 것이다. 국내에서는 기업들이 보유한 개인정보를 해킹당하더라도 집단소송을 우려해 ’쉬쉬’하는 분위기였다. 옥션이 2008년 해킹당한 사실을 공개하고, 각 개인에게 유출 확인 시스템을 제공한 것은 당시 ’자살행위’라는 평가가 내려질 정도였다.
해커의 솜씨가 뛰어나 기업의 보안 관리자가 인지하지 못할 가능성도 있으나, 보안 관리자가 해킹당한 흔적을 발견했더라도 기업 내부에서 로그 기록 삭제 등으로 해킹을 당한 흔적을 지워버리고 ’모르쇠’로 일관한다면, 사법기관 등이 수사하지 않는 한 외부에서 해킹 사실을 파악하기가 쉽지 않은 게 현실이다. 이 같은 이유로 보안업계에서는 기업 내부자가 저지른 정보유출 사례를 제외하고, 상당수의 기업이 해킹을 당했더라도 감춰왔다고 추정하고 있다. 현재 650만명 개인정보 유출 사건과 관련해 백화점업계에서는 고객정보 유출에 따른 피해사례가 아직 접수되지 않았다는 입장을 나타낸 것으로 전해졌다. 아직 650만명이 자신의 정보가 유출된 지를 인지하지도 못하는 상황이 벌어지고 있는 셈이다.
이와 함께 이번 650만명의 개인정보 유출 사건을 계기로, 국회에 1년 반가량 계류 중인 개인정보보호법 제정안이 조속히 통과돼야 한다는 목소리가 높아지고 있다. 행안부가 2008년 11월 제출한 제정안에는 기업이 개인정보 유출 사실을 인지할 경우 해당 개인들에게 유출 항목과 경위, 피해구해절차 등을 통지하는 것을 의무화하고 있다.
또 개인정보의 분실 및 도난, 유출 방지를 위해 암호화를 의무화하고, 인터넷에서 주민번호 대체수단으로 아이핀(I-PIN) 제공 등의 안전성 확보조치도 강제화했다.
정부의 제정안 외에도 한나라당 이혜훈 의원과, 민주당 변재일 의원이 비슷한 시기에 제출한 안도 국회에 계류돼 있다.
업계 관계자는 ”개인정보 유출 피해자들의 2차 피해를 최대한 막기 위해서는 기업들이 자진신고하도록 의무화해야 한다“면서 ”자진신고한 기업은 정상을 참작해주는 방식으로 기업들의 자발적 신고도 유도해야 한다“고 말했다.
[연합뉴스]