보안투자 예산 거의 없어…정보 모으기만 '급급'
정부 '인터넷상 개인정보 침해방지 대책' 발표

'옥션 해킹 사건'을 시작으로 개인정보 유출사고가 잇따라 발생하자 이용자들이 불안에 떨고 있다.

지난 2월 총 1081만건의 사상 최대의 개인정보가 유출된 '옥션 해킹 사건'으로 인한 불안이 채 가라앉기도 전에 청와대 홈페이지와 LG텔레콤의 정보유출사고, 하나로텔레콤의 개인정보 600만건 불법 사용되는 사례까지 드러나는 등 하루가 멀다하고 대규모 유출사건이 터지고 있기 때문이다.

보안업계는 이 같은 사태의 원인을 보안의식 결여 때문인 것으로 분석했다.

중국 등 외국 해커들이 우리나라 청와대 홈페이지까지 넘나들 정도로 국가적 정보보안 재난사태가 현실화되고 있는 상황에서 개인은 물론 기업과 국가 어느 곳에서도 이에 대한 심각한 인식이나 철저한 대비가 전혀 안 돼 있다고 지적했다.

이에 따라 방송통신위원회는 지난 24일 행정안전부, 대검찰청, 경찰청, 금융감독원, 한국정보보호진흥원(KISA), 통신 및 인터넷 사업자 등과 대책회의를 갖고 이 같은 `인터넷상 개인정보 침해방지 대책'을 발표했다.

해킹도 모자라 조직적 유출

지난 2월 옥션 해킹 사건이 알려졌을 당시만 해도 누구도 심각하게 받아들이지 않았다. 그러나 경찰 수사 결과 1081만건이라는 숫자는 온 국민이 충격을 받기에 충분했다. 이는 옥션 회원의 60%를 차지하는 규모였으며 국내 전체 인터넷 사용자의 30%가 넘는 수치였기 때문이다.

이런 가운데 청와대 홈페이지가 웜바이러스에 감염돼 정보가 유출된 것으로 확인됐다. 국가의 중요한 곳마저 무방비로 노출됐고, 정확한 피해경위와 규모도 제대로 파악하지 않았다는 것이 밝혀지면서 국민의 불안심리는 더욱 커져갔다.

통신업체도 예외가 아니었다. LG텔레콤과 제휴한 콘텐츠 제공업체의 고객 정보 관리 서버에 접속할 수 있는 아이디와 비밀번호 등의 정보가 한 개인에게 유출되면서 LG텔레콤 가입자의 주민번호와 휴대전화 관련 정보가 노출됐다.

더욱 심각한 사건은 하나로텔레콤이 보안을 철저히 해야 할 고객정보를 적극적으로 마케팅에 활용한 것. 하나로텔레콤은 600만명의 고객정보 8500만건을 전국 1천여개 텔레마케팅 업체에 제공, 상품 판매에 이용하도록 한 것으로 드러났다. 경찰은 이 회사 전 대표와 전.현직 지사장 등 22명을 정보통신망법 위반 혐의로 불구속 입건했다.

보안의식 결여, 해킹 피해 불러

이 같은 해킹 피해는 지난해 2만2천건에 이르는 등 예전부터 있어왔지만 정부나 관련 업체의 대응은 안일하기 짝이 없다.

지난해 국정원 좌 결과 전체 723개 국가공공기관의 IT 예산대비 보안투자 규모로 2% 미만을 사용한다는 기관이 전체의 42.3%에 달했다. 미국 정부의 보안투자 규모가 전체 IT 예산대비 9.2%에 달하는 것과 대조를 이루는 부분이다.

민간 보안투자 역시 마찬가지. 한국정보보호진흥원에 따르면 전체기업의 50.8%가 IT투자 대비 보안투자비 지출이 없는 것으로 나타났다.

업계는 이러한 사태가 끊임없이 일어나는 가장 큰 이유로 보안의식 결여를 꼽는다. 하나로텔레콤처럼 고객정보를 외부로 임의로 제공하는 일까지 조직적으로 일어나는 것을 보면 기본적인 보안 시스템조차도 갖추지 않는 것은 새삼스러운 것도 아니라는 것.

국내 업계는 서비스를 이용하기 위해 회원가입을 의무적으로 하도록 하는 경우가 대부분이다. 이 과정에서 이름과 주민등록번호, 주소, 전화번호 등을 기재하는 것은 물론 직장과 결혼여부 등 개인정보를 상세하게 요구한다.

문제는 국내 업체 상당수가 이들 정보를 저장하고 사용하는 시스템만 갖췄을 뿐, 이의 유출을 막기 위한 보안 시스템 확립에는 무관심한 것이 현실이다.

옥션 역시 보안업체 인포섹과 보안관제 계약을 맺으면서 방화벽과 침입방지시스템(IPS)의 기초적 수준까지만 계약을 맺은 것으로 알려지는 등 대부분 업체의 보안 수준이 날로 지능화되는 해킹 공격을 방어하기엔 턱없이 부족한 실정이다.

인터넷상 개인정보 수집 제한

국민들의 불만과 비난의 목소리가 커지자 정부는 뒤늦게 관련 방안을 추진하고 있다.

방송통신위원회는 지난 24일 행정안전부, 대검찰청, 경찰청, 금융감독원, 한국정보보호진흥원(KISA), 통신 및 인터넷 사업자 등과 대책회의를 갖고 이 같은 `인터넷상 개인정보 침해방지 대책'을 발표했다.

방통위는 무엇보다도 정보통신사업자가 서비스 제공과 무관하게 개인정보를 과다하게 수집하는 관행이 개인정보의 침해에 주요 원인이 되고 있다고 보고 관계부처와 협의해 인터넷 상에서 주민등록번호 수집을 제한하는 한편 주민번호 대체수단인 아이핀(i-PIN) 도입을 의무화하기로 했다.

또 비밀번호를 만들 때 일정 수준 이상의 안전성이 확보되도록 작성기준 적용을 의무화하고 주민등록번호, 계좌번호 등 금융정보는 반드시 암호화해 저장하도록 하기로 했다.

이번 대책은 특히 개인정보 유출이나 노출 시 사업자의 처벌 수위를 강화하는데도 초점을 맞췄다.

사업자가 피해를 입은 이용자에게 개인정보 침해 사실을 의무적으로 알리도록 정보통신망법을 개정하고 침해 사실을 고지하지 않거나 개인정보 관리 책임자를 지정하지 않을 경우 현행 1천만원의 과태료를 2천만∼3천만원으로 상향하기로 했다.

아울러 개인정보 보호를 위한 기술적인 조치가 미비하거나 동의 없이 제3자에게 개인정보를 제공하는 경우 징역 또는 벌금을 부과하는 한편 과징금도 병과할 수 있도록 법개정을 추진하기로 했다.

[ⓒ 토요경제. 무단전재-재배포 금지]