정보 유출 사고가 터지면 늘 도마에 오르는 게 후속 조치다. 사상 최대 규모 유출 사고를 일으킨 카드사에 고작 600만원의 과징금이 부과되자 여론이 들끓었다. 정부는 부랴부랴 처벌 강화 조치를 마련하겠다는 소식이다.
처벌의 경중 이전에 실효성을 따져야 한다. 기업은 대규모 유출 사고를 일으켜도 법에 정해진 조치를 취했다면 처벌을 면하거나 솜방망이에 그친다. 처벌이 강화된 법이라 해도 ‘법만 지키겠다’는 인식이 변하지 않으면 문제는 계속된다.
2011년 네이트 정보 유출 사건 관련 판결이 또 나왔다. 재판부는 이번에도 회사 측 손을 들어줬다. 법적으로 보안 조치를 할 만큼 했다는 게 판결 골자다. 이런 식이니 기업 입장에서는 ‘고객정보’보다 ‘법’을 지키는 게 남는 장사다.
보안 제품만 도입한 채 관리도 안 된다. 지난해 정보보호관리체계(ISMS) 인증을 신청한 기업 중 절반 이상은 기업 내 정보자산을 파악하지 못했다. 무엇을 보호해야 하는지 모른 채 보안 장비 몇 개 들여다 놓고 ISMS 인증을 받으려 했다는 소리다.
연일 터지는 사고가 정작 보안 업계 실적에는 큰 도움이 안 되는 이유다. 사고가 터지면 기업과 기관은 새 규제가 발표될 때까지 눈치를 보느라 오히려 보안 제품 도입을 미룬다고 한다. 역시 법에 정해진 요건만 갖춰 면피를 해보려는 태도다.
신호를 지킨다고 교통사고가 안 나는 게 아니듯, 규제를 지킨다고 해킹 사고가 안 나는 게 아니다. 안전운전 습관이 교통사고를 줄이는 지름길이다. 스스로 책임지는 문화를 만들고 피해가 발생하면 적절한 보상을 해야 한다. 외국에서는 이 때문에 해킹 보험 수요가 늘고 있다.
어차피 공격과 방어 기술은 진화를 거듭한다. 정보보호는 창과 방패의 끝없는 싸움이다. 관건은 현재의 기술이 아니라 진정성이다. 공격자들은 금전적 이득을 노리니 진정성이야 의심할 여지가 없다. 방어자 입장의 우리 기업은 고객정보를 진정 회사 자산으로 보고 있는지 돌아볼 차례다.
송준영기자 songjy@etnews.com