• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

꼬리 문 정보유출, 기업 내 정보보호는 ‘제자리’ 2008.11.19

주요 기업들, 과다한 정보수집… 암호화 등은 무관심


고객정보를 다량 보유한 업체들에서 정보유출 사건이 발생해왔지만 주요 기업들의 회원정보 관리 실태는 크게 개선되지 않고 있는 것으로 밝혀졌다.


한 언론은 GS칼텍스 회원 정보유출 사건 뒤 적게는 수백만에서 많게는 수천만에 이르는 고객정보 보유기업 14곳을 대상으로 관리 실태를 조사했다. 그리고 그 결과를 토대로 “대부분 필요없는 정보까지 수집해놓고 있었다”고 지적한 바 있다.


특히 이 언론은 주민등록번호 등 민감한 개인정보 보유상황과 관련, “암호화하지 않은 형태로 보유 중이어서 사고나 해킹으로 외부에 유출될 경우 큰 피해가 우려된다”고 전하기도 했다. 그렇다면 이런 지적사항은 얼마나 개선됐을까?


대답은 “크게 나아진 게 없다”는 것이다. <보안뉴스>가 해당 열네개 업체 중 일부와 접촉해 본 결과 대부분의 기업이 ‘본인 확인’이나 ‘중복가입 방지’를 명분삼아 주민등록번호 등 개인정보를 여전히 필요 이상으로 수집하고 있었다.


일부는 전기통신사업법 등 관련 법규에 따라 주민등록번호 등을 의무적으로 보유할 수밖에 없다고 밝혔지만, 포털과 항공 그리고 정유업체 등은 개인정보 의무보유 조항이 없음에도 불구하고 주민등록번호 등의 수집관행을 버리지 않았다.


이들 업체가 고객 개인정보에 집착하는 데엔 이유가 있다. 주민번호 등 개인정보는 고객 식별수단으로 손색이 없다. 물론 최근에 ‘아이핀’이라는 대체수단 활용 움직임이 있지만 도입비용 등 때문에 기업 입장에서는 부담이 클 수밖에 없다.


개인정보를 보유하고 있을 경우 마케팅을 포함한 기업활동이 더욱 용이해진다는 장점도 있다. 관련 자료를 있는 그대로 이용하거나 새롭게 가공해서 마케팅 등 활동에 접목한다면 이윤 창출에 도움이 될 거라는 게 기업의 판단이다.


그렇지만 어떤 이유에서든 과도한 개인정보 수집은 문제가 된다. 해킹 등 공격이나 내부의 부정행위가 있을 경우에 정보유출 사고를 피할 수 없기 때문이다. 기 수집된 정보들을 불안정하게 가지고 있는 것 역시 문제가 되기는 마찬가지다.


14개 주요기업을 대상으로 한 앞선 조사에서 불과 4곳만이 개인정보를 암호화한 상태로 보유하고 있었다. 나머지 10곳 중 2곳(다음, SK에너지)은 개인정보가 외부로 나가도 문제가 없도록 연내 암호화를 마치겠다고 밝힌 바 있다.


허나 그밖의 기업들은 암호화 등의 계획을 전혀 가지고 있지 않았다. 3300만명의 회원을 보유하고 있는 NHN측은 “현행법이 개정돼 의무적으로 암호화를 해야 한다면 그에 맞춰서 관련 작업을 진행할 것”이라며 수동적인 자세를 보였다.


2300만명의 회원이 가입되어 있는 SK텔레콤은 “고객의 개인정보 유출 이후에 대비하는 것보다 아예 유출가능성을 0으로 만드는 게 훨씬 중요하다고 본다”며 주민번호 등 고객정보 암호화에 대한 계획이 아직 없음을 분명히 했다.


마일리지 가입 명목으로 1500만명 정도를 회원으로 가입시킨 대한항공의 경우 “고객이 스카이패스 번호를 기억하지 못할 때 주민등록번호를 갖고 본인여부를 확인하고 있다”며 “업무상의 편의 때문에 암호화를 적용하기는 어렵다”고 말했다.


이와 관련해 보안전문가들은 “각 업체가 비용문제 때문에 개인정보 보호에 좀 소홀한 게 아니겠느냐”는 분석을 내놓고 있다. 경기 둔화로 보안 예산이 대폭 삭감되면서 수집된 개인정보를 제대로 보호하지 못하고 있다는 얘기다.


한 보안컨설턴트는 “개인정보 보호에 들어가는 솔루션이 만만치 않다. 단순히 방화벽 하나를 설치하는 데 그치지 않는다”며 “따라서 기업들의 입장에서는 개인정보 보호가 필요하다는 걸 알면서도 적절히 대응하지 못할 수 있다”고 설명했다.


제도상의 허점 때문에 각 기업이 정보보호를 등한시 한다는 지적의 말도 들린다. 당국이 주요업체들을 상대로 안전진단을 받도록 하고 있지만 관련 제도가 보안 현실을 따라가지 못해 개인정보 보호에 구멍이 생기고 있다는 지적이다.


최성진 인젠시큐리티 차장은 “안전진단에 필요한 보안솔루션이 있는데 예전 버전들이다. 정부가 새 버전을 요구하면 기업들이 싫어한다”며 현실과 동떨어진 정보보호 안전진단 제도가 각 업체의 개인정보 보호 작업에 영향을 미치고 있음을 강조했다.

[최한성 기자(boan1@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>