사상 최대 규모의 개인정보 유출 사고가 드러나면서 지난 22일 정부는 `금융회사 고객정보 유출 재발방지 대책`을 마련해 발표했다. 이에 따르면 앞으로 금융회사의 개인정보 수집과 계열사 간 공유가 대폭 축소되고 현재 5~10년인 금융회사의 개인 신용정보 보유 기간이 `거래 종료일로부터 5년`으로 제한된다. 또 금융회사의 내부 보안통제와 외주용역 관리가 강화되는데, 특히 처벌 수준이 높아져 개인정보를 유출한 금융사는 매출액의 1%에 달하는 징벌적 과징금을 물게 되고 최고경영자(CEO)는 해임된다.
정부의 이번 조치는 과거에 비해 진일보한 측면이 있다. 그러나 이번 대책이 실효성을 갖기 위해서는 강력한 추진 의지와 함께 몇 가지 보완이 필요하다.
우선 CEO 해임과 징벌적 과징금 등과 같이 금융회사에 강한 책임을 요구하기 위해서는 이에 걸맞은 권한이양이 이뤄져야 한다. 2006년부터 최근까지 온라인 게임업체, 인터넷 포털, 금융사 등에 대한 해킹공격으로 개인정보 유출과 그로 인한 피해가 급증했지만 피해 보상은 거의 없었다.
보안대책을 수립하는 데 외국과 우리나라는 접근방식에 큰 차이가 있는 것 같다. 우리는 특정 보안위험에 대한 최소한의 보안대책을 정부가 직접 규율한다. 예를 들면 `주민등록번호와 계좌정보 등 금융정보를 암호화해서 저장할 것(정보통신망법 시행령)` `이용자 PC에서의 정보유출을 방지하기 위해 접속 시 우선적으로 이용자 PC에 개인용 침입차단시스템, 키보드 해킹방지 프로그램 등의 보안프로그램을 설치할 것(전자금융 감독규정 시행세칙)` 등과 같이 관련 법, 시행령, 또는 지침에 업체들이 취해야 할 조치들을 일일이 명시하는 방식이다.
한마디로 `관치(官治) 보안`이다. 이는 인터넷뱅킹과 같이 서비스의 빠른 확산에 기여한 측면이 큰 반면에 플랫폼의 종속성을 높이고, 법에서 하라는 것만 하는 수동적 문화를 조장하며, 기업이 창의적이고 능동적으로 보안대책을 마련하지 않도록 해 경쟁력을 저하시킨다.
이렇게 하고도 해킹사고가 발생한다면 해당 기업은 “우리는 법에서 하라는 것은 다했다. 사고는 불가항력이었다. 그런데 왜 우리가 과징금을 물어야 하느냐?”며 변명할지도 모른다.
이에 비해 미국과 영국, 일본 등 주요 선진 금융시장에서는 업체에 광범위한 자율을 보장하고 있다. 이들 국가는 기업이 직접 자신의 서비스와 관련된 보안위협을 평가하고 스스로 알아서 대책을 세우도록 하고 있다. 대신 사고를 낸 금융회사에는 문을 닫을 정도의 징벌적 벌금을 부과한다. 이와 같은 방식은 산업의 확산이 더딜 수는 있지만 기업 스스로가 보안문제에 적극적으로 나서게 하는 효과가 있다.
합당한 보상도 중요하다. 보안은 다른 IT 분야와 달리 눈에 보이는 성과물이 없다. 그러므로 평상시 잘하고 있을 때는 티가 나지 않지만, 반대로 사고가 나면 시쳇말로 `독박`을 쓴다. 상황이 이렇다 보니 `정보보호최고책임자(CISO)`라는 자리와 보안 담당 부서는 자연히 한직으로 여겨지고 인재 확보에 어려움을 겪는다.
잘못한 일은 호된 질타를 받아야 마땅하다. 그러나 이를 개선하기 위해 무조건 처벌 수위를 높이는 것만이 능사는 아니다. 이번에 발표된 대책이 진정으로 효과를 거두려면 그 책임에 합당한 권한과 보상이 뒤따라야 한다.
김승주 고려대학교 정보보호대학원 교수 skim71@korea.ac.kr