개인정보 수집엔 혈안, 관리는 나몰라라

잇따른 개인정보 유출사고 원인
평생 바뀌지않는 개인 식별번호 ‘매력’
관리감독·처벌 강화 등 경각심 높여야

경찰이 7일 중간수사 결과를 발표한 지에스칼텍스 고객의 개인정보 유출 사건은, 기업들의 보안 불감증이 얼마나 심각한지 단적으로 보여준다. 기업들은 고객 개인정보를 모을 때만 ‘귀중한 자산’으로 여길 뿐, 이를 관리하는 과정에서는 구멍이 숭숭 뚫려 있음이 이번 사건에서 그대로 드러났다.

지에스칼텍스는 처음 사건이 불거진 지난 5일 고객정보를 철저히 관리하는 내부시스템을 갖추고 있다고 설명했다. 이 회사의 김현철 아이티(IT)기획팀장은 “고객 개인정보에는 우리가 제공하는 기기를 통해서만 접근할 수 있으며 접근 기록도 남는다. 접근하는 사람들은 주기적으로 모니터링을 한다”고 말했다. 하지만 경찰 수사 결과에 따르면, 이런 내부시스템은 무용지물이었다. 자회사 직원인 피의자 정아무개씨는 자신의 회사 책상에 있는 컴퓨터로 지에스칼텍스 고객 데이터베이스에 여러 차례 접속해 정보를 내려받고 다시 이를 디브이디에 복사해 밖으로 빼간 것으로 드러났다. 한 인터넷업체 보안팀장은 “고객 데이터베이스 보안장치로는 접근 제한, 모니터링, 암호화 등 세 가지가 있는데 지에스의 경우 모니터링을 제대로 하지 않은 것 같다”고 설명했다. 전형적인 관리 허술 문제라는 얘기다.

보안 전문가들은 “기업들은 사건이 터지지 않는 한 그전까지 보안관리를 ‘비용’으로만 생각한다”고 지적한다. 기업에서 정보가 유출돼도 피의자 당사자를 제외하곤 딱히 기업을 처벌할 기준이 없는 것도 이들의 ‘안일한 의식’을 부추긴다. 정유업계만 해도 지에스칼텍스가 1200만명, 에스케이에너지가 2800만명 등 어마어마한 규모의 정보를 갖고 있음이 드러났지만, 이번 사례에서 드러났듯 데이터베이스 관리부터 직원 윤리교육까지 허술한 점투성이었다. 외국에선 서비스 부문에도 집단소송제가 활발하기 때문에, 기업들이 보안관리 예산을 ‘고무줄’처럼 늘리고 줄일 수 있는 ‘선택적 비용’이 아니라 ‘필수 비용’이라고 생각한다.

개인정보 유출 문제의 좀더 근본적인 원인은, 주민등록번호라는 세계에서 유례를 찾기 힘든 전국민 고유 식별번호에 있다. 주민번호에는 개인별 특성을 우선 식별할 수 있도록 하는 강력한 ‘프로파일링’ 기능이 있다. 이름·주소·전화번호 등과 달리 주민번호는 한번 정해지면 바뀌지 않고 중복이 없는 전국민 각자의 고유번호다. 외국에서도 사회보장번호 등 비슷한 유형의 개인 식별번호는 있지만, 필요하면 바꿀 수 있다는 점에서 큰 차이가 있다.

따라서 전문가들은 개인정보를 수집하는 단계에서부터 근본적 시각 전환이 필요하다고 말한다. 창과 방패의 논리처럼 아무리 보안을 강화한다고 해도 새로운 방법으로 사고가 일어날 수 있다는 것을 인정할 필요가 있다는 것이다. 전응휘 녹색소비자연대 상임위원은 “개인정보를 수집하는 이상 노출 사고는 피할 수 없다”며 “근원적 해결법은 수집을 최소화하는 것이고 노출 사고가 나면 개인 식별번호를 변경할 수 있게 해야 한다”고 강조했다.

구본권 박현정 기자 starry9@hani.co.kr