새해 들어서자마자 KB국민, 롯데, NH농협카드 등 1억400만여건의 고객정보가 통째로 털린 대형 개인정보 유출사고로 뒤숭숭하다. 하지만 그다지 놀랍지 않다. 잊을 만 하면 반복돼왔던 탓이다.
고객정보가 유출된 해당 기업의 사과, 이어 진행되는 당국의 후속 실태조사 그리고 허술한 정보보호 실태와 당국의 뒤늦은 대응을 지적하는 언론보도까지. 일련의 후속 과정은 2008년 옥션 사태, 2011년 네이트, 싸이월드 해킹 등 대형 정보유출사고가 터질 때마다 다람쥐 쳇바퀴 돌듯 되풀이돼왔던 패턴 그대로다. 이제 사태가 진정되면 정부의 종합대책안이 발표되고, 어느새 이번 사고는 또다시 뇌리에 잊혀저 갈 것이다. '개인정보'가 돈이 되는 세상의 자화상이다.
정부의 수많은 후속 대책을 내놨음에도 왜 이같은 사고는 반복되는 것일까. 이번 카드사 정보유출사고의 내면을 들여다보면 답을 찾을 수도 있다. 국내 금융기관의 보안시스템 수준은 세계 최고라고 해도 과언이 아닐 정도다. 외부에서 네트워크를 통한 해킹은 거의 엄두도 내지 못할 지경이라는 게 보안 전문가들의 진단이다. 정부의 까다로운 규제 때문이다.
하지만 정작 이번에 동원된 정보 유출수법은 첨단 해킹기법과는 거리가 한참 멀다. 검찰조사결과, 외부 용역직원이 USB 기기에 전산망의 고객정보를 옮겨 담아 빼냈다고 한다. 따지고 보면 물리적 시스템의 문제가 아닌 관리의 문제인 셈이다.
최근 벌어진 외국계 은행, 저축은행, 할부금융사의 개인정보 유출사고 역시 내부 직원이나 용역직원들의 소행으로 이뤄진 것으로 알려졌다. 평소 잘 알고 있는 직원 혹은 용역 직원이면 의심조차 못했을 수도 있다.
보안 사고는 예외규정을 두는 순간 터지기 마련이다. 내부 보안 규정만 제대로 설계 혹은 준수했더라면 충분히 사전에 방지했을 사고였다는 게 전문가들의 진단이다.
이참에 정부 정책 패러다임도 전환돼야한다는 목소리도 나온다. 보안 시스템 도입 미비에 따른 규제보다는 사고기업 제재와 2차 피해 최소화에 중점을 둬야한다는 지적이다. 개인정보 유출 사고로 인한 폐해가 날로 심각해지고 있는 것에 비해 유출 기업에 대한 제재는 솜방망이 처벌이란 비판이 끊이질 않는다.
유출 기업에 대한 고객들의 집단소송이 이어지고 있지만 피해자들이 승소한 사례는 찾기 힘들다. 정작 개인정보를 수집하는 기업들 내부에서조차 보안 불감증이 만연된 이유다.
독자들의 PICK!
기업들 스스로 지킬 자신이 없다면 아예 개인정보를 수집할 엄두를 내지 못하게 하는 풍토. 하루 수통 이상의 스팸메일과 스팸번호로 고통 받고 피싱에 낚이고 있는 국민들의 요구다.