국내 주요 포털들은 대부분 최고 수준의 보안 솔루션과 정책을 채택하고 있다. 개인정보 침해 사고는 해당 기업의 이미지에 치명적 손상을 가져올 수 있기 때문이다. 여러 겹의 DB 암호화 보안 장치와 보안 관제, 침입 탐지 및 방지 시스템 등을 두루 갖추고 정보보호 관련 국제인증도 받아 왔다.
NHN은 개인정보보호관리체계(PIMS) 인증을 취득했으며, NHN 서비스와 연관된 모든 관계사가 정보보호관리체계(ISMS) 인증을 취득하도록 했다. 또 전문가와 시민사회의 의견을 수렴해 정보보호 정책을 수립하는 ‘개인정보보호 위원회’를 구성하고, 개인정보가 포함된 양식이나 서식을 암호화 처리할 수 있는 개인정보 마스킹 시스템도 구축했다.
다음커뮤니케이션과 SK커뮤니케이션즈 역시 업계 최고 수준의 정보보호 정책을 수행해 왔다는 평가다. 보안 솔루션이나 DB 암호화 등은 대부분 빠짐없이 갖추고 있다. 온라인 게임 업계 역시 아이템 탈취 등 사용자에게 금전적 피해를 입힐 수 있는 해킹 공격에 대비하기 위해 지속적인 보안 투자를 하고 있다.
그러나 내부자의 정보보호 의식의 허점을 파고드는 사이버 공격은 인터넷 서비스 업체에 지속적 위협이 되고 있다는 지적이다. 실제로 해커들은 항상 최첨단 기술을 사용하기보단 사람들의 실수를 유도하고 악용하는 ‘사회공학적’ 방법을 즐겨 사용한다. 이번 SK컴즈의 악성코드 유입 시나리오에서도 내부자의 실수를 틈탄 침입 가능성에 무게가 실리고 있다.
개인정보 해킹 사실 발표 후 SK커뮤니케이션즈가 개인정보 유출 여부를 확인할 수 있도록 만든 웹페이지 역시 주민등록번호 등을 입력해야 함에도 보안이 강화된 https 방식이 아니라 일반 http 페이지로 만들어져 있다. 해외 주요 웹서비스들이 개인정보나 일정 등이 노출되는 사이트들에 대해선 대부분 https 페이지를 구성하는 것과 대조된다. 정보보호 의식에 여전히 한계가 있다는 지적이 이어지고 있다. 또 포털의 게시판이나 블로그 등에도 악성코드가 숨겨진 게시물이 올라와 해당 페이지를 방문하는 네티즌들이 감염되는 사례도 계속 늘고 있다.
포털들이 지나치게 많은 개인정보를 보유한 인터넷 환경 자체가 해커들을 계속 부르는 요인이란 지적도 힘을 얻고 있다. 업계 관계자는 “인터넷 실명제 등의 제도적 요구와 포털 업계의 마케팅적 이해관계 등이 맞물려 개인정보를 필요 이상으로 요구하는 관행이 굳어졌다”고 지적했다.
한세희기자 hahn@etnews.com