1월 초 신용카드 3사가 1억건에 달하는 개인정보를 유출하는 사상 초유의 사건이 발생했다. 이 사건으로 금융사는 물론이고 기업 내부에 저장한 각종 고객 정보를 안전하게 보호할 방법에 관심이 집중됐다. 특히, 신용카드 3사에서 터진 개인정보는 민감성까지 반영하면 세계 최대 수준으로 분석된다. 규모도 문제이지만 18종이나 유출돼 민감도 측면에서 세계 최대라는 주장이다.
주민등록번호는 물론이고 신용카드번호, 비밀번호, 유효기간에서 심지어 개인 신용등급까지 유출돼 불법 유통됐다. 기업은 여전히 민감도 높은 개인정보를 대량으로 보관 중이다. 이를 안전하게 보관할 방법은 없을까. 최소한 대책은 기업 내 정보보호 수준을 꾸준히 유지하고 유통되는 모든 정보를 체계적으로 관리하는 것이다. 고객 주요 정보가 담긴 DB는 반드시 암호화해 최악의 경우 유출이 되도 피해를 최소화한다.
각종 고객정보를 담은 문서를 암호화하며 이 정보에 접근하는 모든 기록을 남긴다. 인가되지 않은 사용자 접근을 막고 인가되더라도 불필요한 접근시 경고하는 기업 내 총체적인 보안이 필요하다. 파일뿐 아니라 출력물 단에서도 개인정보를 걸러낸다. 개인정보를 포함한 문서를 내려 받거나 편집하면 드라이브 등에서 강제로 격리하는 방식이다. 내부데이터보안솔루션을 설치하면 정보가 유출되더라도 권한 없는 사용자는 열람을 할 수 없어 피해를 최소화한다.
정보유출을 원천봉쇄하려면 기업 내 보안 수준 유지가 필수다. 기업 웹사이트와 네트워크에 보안 취약점도 지속적으로 관리한다. 보안 취약점을 자동 점검해 발견된 문제 원인과 해결책을 찾는다. 기업 웹사이트와 모바일 애플리케이션 개발 시 시큐어코딩도 사고를 방지하는 방법이다. 소프트웨어 개발 라이프사이클에서 보안 취약점을 조기에 발견해 침해 사고를 근본적으로 방어한다.
이경호 고려대 정보보호대학원 교수는 “작년 3월부터 금융권 비대면 거래 비중이 90%를 넘어섰지만, 그에 걸맞은 정보보호 투자는 이뤄지지 않았다”며 “지난해 기업 IT예산 중 정보보호 예산이 차지하는 비중은 평균 10%에 불과했다”고 지적했다.
김인순기자 insoon@etnews.com