최근 카드사에 개인정보 유출로 인하여 새해 벽두부터 난리이다. 관련 분야를 그동안 모니터링 해왔고, 현장에서 개인정보보호 관련 교육을 하면서 현장 실무 담당자의 애로사항을 경청하면서 느낀바가 크기 때문에 이번 사태에 대해서는 예견할 수 있는 사고라 할 수 있겠다.
제발 반복적인 행태는 하지 말아야 한다.
아마도 이번에 언급되지 않는 다른 카드사나 또 다른 금융사 또는 기타 더 많은 개인정보를 취급, 처리하고 민감정보를 대량 수집하고 있는 또 다른 폭탄이 있을 수 있다는 사실도 간과해서는 안된다. 일반 비보안인들은 그저 개인의 금융적인 부분에 대해서는 아무래도 더 민감한 사항이다 보니 더 관심을 가질수 밖에 없는 것이 차이점일 뿐이다. 즉, 돈과 관련된 것이고 당장 2차 피해로 인하여 나의 부당한 개인정보 유출로 인하여 또 다른 경제적 손실이 바로 피부로 와 닿기 때문에 국민들이 분노를 하고 있다.
과거에도 여러가지 개인정보 유출로 사건 사고가 생겼다. 정유사가 그랬고, 게임사가 그랬고 포털사가 그랬고, 통신사가 그랬다. 그런데 이렇게 반복되는 것일까?
그 이유는 바로 “무관심” 때문이다. 개인정보는 이미 공개정보가 되었다고 자조 섞인 이야기나 “그거 어차피 이제 다 유출되었는거 보호한다고 되겠어?” 라는 의식이 팽배해 있었다. 정보주체가 관심을 가지고 지속적인 개인정보 처리자를 압박하고 “개인정보보호법”이나 “망법”에 근거하여 민원을 제기하고 부담을 주었다면 개인정보처리자 입장에서는 조금 더 신경 쓸수 밖에 없었다.
하지만 일반 정보주체가 그 모든 법을 이해하고 자신의 권리를 주장하기도 어렵거니와 또한 주장 한다고 하더라도 개인정보처리자 입장에서는 까다롭게 구는 민원인은 정보주체로서 권리를 주장 하기 보다는 오히려 “진상” 취급해 버리는 결과를 양산하다보니 이러한 정보주체와 개인정보 처리자의 안이함이 최대 개인정보 1억건 유출이라는 “카드런” 대란을 불러 일으킨 것이다. 타산지석으로 삼아서 다른 개인정보 처리자 들은 문단속을 다시 한번 하는 계기가 되어야 할 것이다.
지금은 생활 경제와 제일 가까운 돈과 관련이 되어 국민들이 많은 반응을 한 것이지만 지난번 약x정x원 사태는 국민들이 약국을 이용하는 처방전을 그대로 모아서 글로벌 회사에 팔아 먹는 파렴치한 기관도 있다는 사실은 정보주체로서 기억을 해야 할 것이다. 눈을 똑바로 치켜뜨고 살펴봐야 할 것이다.
기업(기관)보안과 개인정보보호는 그 출발점부터 상이
기업의 보안도 중요하다. 중요기밀문서나 대외비 등에 여러가지 대,내외적인 요인으로 인하여 유,노출이 되었을 경우 그 기업이 입어야 하는 타격은 대외적인 신뢰도 하락에서부터 공공기관이 었을 경우 국가기밀까지 상당한 피해가 예상이 된다. 즉, 그 리스크를 떠 안아야 하는 몫은 오로지 기업(기관)이 되는 것이다. 하지만 개인정보는 상황이 다르다.
처음 개인정보를 수집할때에는 정보주체나 이용자의 개인정보를 책임지고 잘 수집하고 이용하고 보관하고 파기하겠다는 책임감으로 수집에 동의를 하고 국민이 자신의 정보를 제공하는 것이다. 개인정보가 유출되었을때에는 수집한 개인정보처리자나 취급기관이 피해자 일수도 있지만 신용카드 개인정보 유출처럼 내부통제에 실패하게 되어 유츌이 되었을 경우에는 그 모든 위험(리스크)은 개인이 감수해야 한다. 따라서 수집기관은 그 책임을 다해야 하는 것이다. 집단소송으로 갈 경우에도 개인정보처리자는 상당히 불리한 측면이 있다.
또한 이는 망법이나 개인정보보호법에 철저히 기술적, 관리적 준수 절차를 규정하고 있다. 하지만 기존 관행에 익숙하여 아직까지도 다양한 방법으로 개인정보를 수집하고 그 정보를 많이 확보 할수록 영업이나 마케팅에 활용할 이용가치가 크다고 보기 때문에 쉽게 포기 하지 못하는 것이다.
그렇다보니 최초 수집에는 어느정도 관심을 가지더라도 이것이 3자 제공이나 동의에 의한 다른 곳에 제공이 되었을때 또 다른 손을 거치다 보면 점차 관리 감독이 소홀해지게 되는 것이다. 기업 보안과 개인정보보호의 보안을 그 출발 사상에서 우린 다르게 접근 할 필요가 있다.
솜방망이 처벌이 아닌 엄중처벌과 경영자의 의식전환이 필요
최근 보안이 이슈가 되고 그 중요성이 점차 부각이 되다보니 많은 사람들이 관심을 가지게 된다. 또한 관련 업무를 하고 있는 실무자들도 열심히 고민하고 노력을 하고 있다. 하지만 이러한 대국민의 관심을 가지는 보안관련 사건사고가 일어나면 언제나 그렇듯이 그때만 반짝하고 만다. 잠시 호들갑 떨고 만다는 것이다. 한번 과거를 되짚어 보라. 3.4 , 7.7 디도스 대란 때는 또 얼마나 호들갑 떨었는가? 이번에는 디도스 대란과는 다른 개인에 대한 정보 유출로 호들갑을 떨고 있다. 꼭 사건사고가 터진 후에 그 원인을 찾고 그 사후 대책을 찾는다는 것이다.
그와 같은 보안사건사고를 우리는 1.25 대란부터 꾸준히 반복하고 있다. 무엇이 문제일까? 왜 근절되지 않는 것일까? 혹자는 아마도 이러한 보안사건 사고에 대하여 웃고 있는 사람도 있을 것이다. 왜냐하면 사고가 일어나야만 사람들이 관심을 가지니까.
이제는 패러다임을 바꾸어서 “사전예방”이나 “조기예방” 하는 보안 패러다임으로 바꾸어야 한다. 그렇다고 해당 업체가 보안을 소홀히 했다고 생각하지는 않는다. 하지만 우린 내부통제나 결국 사람이 문제가 되는 점에 대해서는 그에 따른 여러가지 교육이나 사전예방 인식과 구조적인 문제를 되짚어봐야 할 것이다.
아마도 현장에 실무자들이 가장 힘들어 하고 있을 것이다. 이러한 사건에 대한 대처와 여기저기 불려 다니면서 평소에 보안에 대한 건의나 필요성을 이야기해도 귀담아 듣지 않다가 사건사고가 나면 모두 현장 실무자 책임으로 전가하여 모두 파리목숨이 되어야 하는 서글픈 현실이 안타깝기만 하다.
이번에는 워낙 사건이 크다보니 정보유출 3사 사장단 퇴출과 여러가지 조치가 취해지고, 대통령과 국무총리까지 관심을 보이는 것을 보면 그만큼 큰 사건임에는 틀림이 없다. 그도 그럴것이 관련부처 윗분들도 모두 유출되었다고 하니 관심 가질 수 밖에 없는 사안이다.
필자도 15개의 개인정보가 유출이 되었다. 그 내용을 보니 개인 금융정보로 내 자신이 모두 발가벗겨진 느낌이 들었다. 아마도 누군가 개인에 대한 15개정도 금융개인정보를 알고 있으면 유출된 개인은 2차 피해에 노출 될 확률과 불안이 가중되는 것은 당연한 것이다.
그것이 국민의 분노를 사고 있는 것이다. 과거에 그냥 얼렁뚱땅 넘어갔던 통신사부터 포털사, 정유사처럼 넘어가서는 안될 것이다. 시범 케이스가 되어야 한다. 그래야 타 기업에 경영자도 관심을 가지고 개선 방안을 도출 할 것이다.
서두에서 이야기 했지만 금융뿐만 아니라 당장 돈이 아닌 민감정보인 의료에 관한 개인정보 또한 어느 곳엔가 모여 있을 것이다. 즉, 또 이런일이 재발 하지 않는다는 보장이 없는 것이다. 금융다음에는 의료정보에 신경을 써 봐야 할 것이다.
담당자 처우개선, 고용불안 해소와 일자리 창출 해야
그럼 앞으로 이러한 반복적인 보안사고를 줄이려면 어떻게 해야 하는가? 우린 겉으로 보기에만 그 기업(기관)에 브랜드와 규모만 바라볼뿐 실제 내막을 들여다 보면 보안조직이라는 것은 규제 조직이다 보니 또한 보안에 투자하는 것을 비용이라고 치부하는 인식때문에 초라하기 그지 없다. 고용형태도 불안하기 짝이 없다.
금융권 보안조직에 직원 채용을 보면 언제나 전문직이라는 형태로 계약직으로 채용을 한다. 고용불안이 가중되기 때문에 언제 짤릴지 모르는 곳에서 충성심을 다해서 힘들게 일하려는 인력이 줄어드는 것이 사실이다. 즉, 내부적으로 위로는 인정받지 못하고, 타부서로는 규제 인력으로 치부되기 때문에 그만큼 애로사항이 많다는 이야기이다. 재발 방지를 위해서는 이러한 고용불안에 따른 해소와 정규직 전환과 유능한 전문적인 인재를 발굴하고 채용을 해야 할 것이다.
보안이 서비스를 앞설순 없다. 서비스가 되기도 전에 보안 때문에 서비스가 사장 될 우려가 있기 때문이다. 하지만 이제는 그 서비스 이전에 그 서비스를 이용해 줄 고객이 있다는 사실을 간과해서는 안된다. 그 고객의 정보를 소홀히 하면서까지 서비스를 한다면 언제든지 고객은 냉정하게 그 서비스를 떠날 수 있다는 사실을 숙지해야 한다.
그리고 최소한 보안을 왜 해야하는지, 왜 필요성이 있는지에 대한 것은 이번 신용카드 개인정보 유출로 충분히 교훈 삼았으면 한다.
더불어, 보안 관련 인력을 체계적으로 배출 하는 곳이 많지 않다. 군인이 전방과 나라 영토를 지킨다고 한다면 사이버 보안은 사이버영토를 지키는 전사나 마찬가지이다. 이를 위해서는 체계적인 보안인력을 꾸준히 사이버 영토 곳곳에 배치할 수 있도록 일자리를 창출하여 자신이 자부심을 가지고 이 업에 대하여 충실할 수 있는 토대가 마련이 되어야 한다.
결론
이번 신용카드 개인정보 유출 사고는 한 사람의 행동으로 전 국민을 혼란에 빠뜨리는 파장을 불러 일으켜 왔다. 호들갑 떨지말고 관계당국과 관련부처, 업계, 학계에서 재발 방지를 통하여 전국민이 안전하게 금융거래를 할 수 있고 법의 존재가 초라해지지 않도록 최선을 다해야 할 것이다. 관련 기업에 대해서는 그 책임을 물어 엄중대처를 해야 할 것이다.
본문에서도 언급했듯이 금융정보도 중요하지만 사회 곳곳에 민감정보가 수집되어 공공연하게 유통되거나 아직도 법의 사각지대에 놓인 곳이 있다. 이번에 재점검의 기회로 삼아 경영진과 기관장의 마음에 각오가 새롭게 다져지길 바래본다. 또한 개인도 무관심 보다는 소중한 개인의 정보는 정보주체나 이용자의 권리로 “자기정보결정권”을 행사 할 수 있는 당당한 정보주체임을 인지하고 자신의 정보는 자신이 더 지키고 권리를 찾는 계기가 되었으면 하는 바램이다.
글 : 전주현
출처 : http://goo.gl/8h0fUA
You must be logged in to post a comment.