생각

개인정보 보호는 정부가 강제해서는 안된다

최근들어 굵직굵직한 개인정보 유출 사고가 빈번해지고 있다. 농협카드, 국민카드, 롯데카드에서는 1억건이나 되는 개인 및 금융정보가 유출되었으며 KT는 2004년, 2012년에 이어 2014년에도 개인정보가 대규모로 털림으로서 이 부분 3관왕의 위엄을 달성한 바 있다. 이에 정부가 부랴부랴 보안사고 유출을 막기위해 각종 제도와 보안 가이드라인을 정비하기 바쁘다.

카드 3사 CEO. 현재는 모두 사퇴한 상태 . 출처 AP

사고의 원인

여기서 근본적인 질문을 하나 던질 수 밖에 없다. 왜 이런 정보 유출 사고가 끊임없이 발생하는가? 원인은 크게 3가지다.?

1. 훔쳐갈 정보의 가치 > ?훔치는데 드는 노력

1 년 전쯤 펜션을 예약하기 위해 모 펜션에 실시간 예약을 한 적이 있었다. 그런데 경악스럽게도 고작해야 펜션을 예약할 뿐인데도 펜션 홈페이지에서는 당당하게 주민등록번호를 요구하고 있었다. 세상에! 아무리 성인인지 확인코자 한다지만, 일개 펜션 사이트에서도 이름과 연락처, 주민등록번호를 요구하고 있었다. 이 정보는 보안에 대한 개념조차 없을 펜션 사이트 DB에 차곡차곡 저장되고 있을 것이고, 이 정보는 바로 해커의 먹이감이 된다. 펜션 사이트 정도는 초보 해커라도 쉽게 해킹이 가능하다. ?조금만 하면 수 백~수 천만원의 개인정보를 얻을 수 있는데, 어느 누가 덤비지 않을까.

반면, 막상 사이트를 털었는데 암호화된 이메일과 비밀번호가 고작이라면 – 즉 털어도 돈이 되지 않으면 해킹 시도조차 하지 않는다. 한국 사이트들은 털면 돈이 될만한 개인정보를 – 그것도 사업에 쓸데 없는 정보조차 너무 많이 가지고 있다. 이 정보는 사이트 가입 시 필수항목으로 요구하는 것이다.

2. 정부의 보안 규제

역설적이게도 정부의 보안 규제가 이번 사건의 원인 중 하나다. 기업에게 보안이란 일종의 보험과 같다. 비용은 계속 발생하지만 정작 해킹을 당하기 전까지는 그 소중함을 모른다. 따라서 기업 입장에서는 늘 보안 비용이란 줄여야 할 소모성 비용으로 인식한다. 여기서 문제가 바로 정부의 보안 규제다. 기업들도 해킹사고가 발생했을 때, 바로 정부의 보안 규제가 훌륭한 면피용 답변이 된다는 점이다.

“저희는 정부가 지정한 보안 수준을 지켰음에도 불구하고, 해킹사고가 발생했습니다. 정말 죄송합니다(만 우리는 책임 없음)”

금감원에서 법으로 규제하기를 이른바 보안3종 세트라 불리는 키보드 보안, 개인방화벽, 바이러스 스캔 이렇게 3가지 오물 프로그램 설치하게끔 되어있다. 은행 입장에서는 이것만 지키면 그만이다. 그들의 입장에서는 서버 보안 및 부정방지 알고리즘 개발 등에 비용을 쓰는 페이팔이 한심해 보일 것이다.

3. 솜방방이 과징금과 집단 소송 제도의 미비

KT가 1000만건이나 되는 개인정보를 유출했는데도 과징금은 고작 1억원이라고 한다. 실소를 금할 수 없는 액수다. 기업 입장에서 해킹당해도 고작 1억원만 과징금으로 내면 되니까 보안에 투자하고 싶을까? 그냥 CEO 옷 벗기고 여론이 잠잠해질 때 까지 죄인 코스프레 좀 하는 비용이 천 만배 더 쌀 것이다.

사실 과징금도 필요없다. 미국과 같은 집단소송제도를 도입하면 해결될 문제다. 미국식 집단소송은 소수의 피해자가 기업을 상대로 손해배상을 청구해서 승소할 경우, 다른 피해자도 같은 배상을 받을 수 있다. ?한국은 집단 소송에 참가한 피해자만 구제해준다는 점이 미국과 다르다.정보 유출로 인한 피해자 중 집단 소송에 참가한 피해자는 극히 적기 때문에 기업들 입장에서는 패소한다 해도 전혀 부담이 없다.

따라서 기업 입장에서는 배상액수가 천문학적으로 늘어나기 때문에 집단 소송 한 방에 회사가 존폐의 기로에 서기도 한다. 그렇기 때문에 미국은 정보 보안에 늘 신경쓰고, 많은 투자를 아끼지 않는다.

결론

정부는 보안에 대해서 가이드라인을 제시하려 하지 말고, 그렇게 좋아하는 시장에 모든 것을 맡겨야 한다. 대신, 보안에 소홀하면 기업이 망할 정도의 손해를 입을 수 있도록 제도를 고친다면 기업은 알아서 스스로 보안에 대해서 신경 쓸 것이다.

Leave a Reply

Your email address will not be published. Required fields are marked *