최근 다시 기승을 부리는 보이스 피싱에 노출이 됐다는 것은 보이스 피싱 사기를 하는 조직들이 대량의 개인정보들을 입수했다는 것이다. 이는 대다수 국민들의 개인정보가 노출되어 있다는 것. 그럼에도 불구하고 우리 모두는 온라인에서 개인정보를 무작정 제공하고 개인의 정보를 수집한 기업들은 이러한 개인정보관리를 허술하게 운영하는 등 많은 취약점을 갖고 있다. 이에 정부·기업·보안업체·개인 등 모두가 개인정보보호의 책임을 갖고 대책을 마련해야 한다. 이같은 정보보안의 문제 해결 없이 앞으로 다가올 IT를 통한 제어 시스템 기반의 유비쿼터스 사회에서도 결코 안전한 사회를 만들 수 없을 것이다.

얼마 전 매스컴을 통해 안타까운 소식을 접하게 되었다. 여대생이 자신이 모은 등록금을 보이스 피싱으로 모두 날리고 투신자살을 했다는 것이다. 또한 보이스 피싱 사기로 부산에서 식당 종업원으로 모은 전 재산 8,600만원을 날린 한 중년 여성의 안타까운 사연도 있었다. 이제 우리 국민 누구나 보이스 피싱에 노출돼 있다고 해도 과언이 아니다.

보이스 피싱에 노출이 되어 있다는 것은 보이스 피싱 사기를 하는 조직들이 대다수 국민의 개인정보들을 입수했고 이는 대다수 국민들의 개인정보가 노출됐다는 것을 의미한다. 그럼에도 불구하고 우리 모두는 온라인에서 개인정보를 무작정 제공하고 개인의 정보를 수집한 기업들은 이러한 개인정보 관리를 허술하게 운영하는 등, 여전히 많은 취약점을 가지고 있다. 그러나 이러한 것들이 비단 개인정보만의 문제일까?

병·의원의 민감한 개인의 병력정보, 회사의 영업기밀정보, 공공기관이나 국가의 기밀정보 관리는 제대로 되고 있는 것일까? 수없이 일어나고 있는 보이스 피싱, 메일 피싱, 금융 피싱 등 수많은 사고를 접하면서 개인정보나 민감한 정보의 보안관리가 완전하지 않다는 것은 누구나 생각해 볼 수 있는 문제다.

이러한 사고가 일어날 때마다 언론은 사설을 통해 국가·사회적 대책이 시급하다고 했으며 정부는 대책마련에 분주했고 기업은 기업대로 대책을 마련하고 업체는 솔루션을 개발하고 대응책을 마련한다고 했으나 여전한 문제점을 우리사회는 가지고 있는 것이다.

그렇다면 우리사회에 만연히 퍼져있는 유출된 개인정보들로 인한 사고를 미연에 방지할 수는 없는 것인가? 여기에는 정부도 특정기업도 보안솔루션을 만드는 업체도 그리고 정보를 수집한 기업이나 개인 누구도 책임에서 벗어날 수 없다고 생각한다. 더욱이 자신의 개인정보가 유출된 상황에서는 개개인 모두 개인정보보호의 책임이 있다고 할 수 있다.

변화하는 정보화 환경에 대비

잠시 정보보호에 대한 우리사회의 인식에 대해 생각을 해보자. 우리의 모든 생활이나 의식주가 정보화를 배제하고는 이제는 생각조차 할 수 없는 시대에 우리는 살고 있다. 또한 미래 사회인 유비쿼터스 사회도 여전히 IT를 통한 제어시스템 등을 통해 보다 나은 생활을 가져다 줄 것으로 기대하고 있다. 그러나 유비쿼터스 사회에서도 정보보안문제를 해결하지 않고는 결코 안전한 사회를 가져다주지 않을 것이다.

예를 들어 아파트에서 외출했을 때 U-환경에서는 휴대폰 등을 이용하여 원격에서 가스, 전기 등을 컨트롤 할 수가 있다. 그러나 보안문제를 해결하지 않으면 누군가 악의적인 의도에서 우리 집 가스를 ‘ON’할 수 있다고 생각하면 끔찍한 일이 벌어질 수도 있다.

그런데 이러한 보안적인 문제들을 우리는 알고 있으나 그 해결방안에 대해서는 조금씩 의견이 있다. 정보화 사회의 주체들, 특히 IT를 주도적으로 움직이고 구현하는 이들이 정보보안 투자나 대응에 대해서는 민감하지 못한 것이다. 단지 사고가 발생하면 대응하는 정도에서 보안문제를 조명하는 우를 범하고 있는 것이다.

예산을 확보하는 단계에서 심의하는 이가 그렇고 투자에 대한 의사결정에서 정보보안 문제를 소홀히 인식하는 CIO나 CEO가 그렇다. 또 정보시스템을 개발·구축하는 이와 감리하는 이들이 정보보안에 대해 민감하게 대응하지 못한 때문이라고 감히 생각한다.

최근에 와서 정보보안에 대한 인식을 조금씩 하면서 투자가 발생하는 것은 사실이다. 또한 투자액만을 비교해 볼 때 선진국과 비슷하게 투자하는 것 같이 보이지만 실상은 그렇지 못하다. 정보보안의 선진국들은 정보보안을 인프라 측면에서 이미 수많은 투자를 해 왔으며 그만큼 정보화 환경의 보안대책이 어느 정도 안정화를 가져온 상태에서 지속적으로 투자를 하고 있는 것이다.

하지만 우리는 지난 과거 정보화의 긍정적인 측면만을 강조하고 효율성만을 앞세워 정보보안에 대한 투자를 거의 하지 않은 상태에서 최근의 투자는 그야말로 지극히 미흡한 것이라 할 수 있다. 건물 등을 건축할 때 지반이 튼튼하지 않고는 높은 빌딩을 세울 수가 없다. 만일 부실한 지반을 기반으로 빌딩을 짓는다면 무너질 것이 확실한 결과를 예상할 수 있다.

정보화의 인프라는 시스템·네트워크·전산센터 뿐 아니라, 정보보안에 대한 투자도 이제는 인프라로 인식하게 될 때 우리의 정보화 사회는 보안문제로부터 조금씩 안전하게 개선될 수 있는 것이다. 정보보안에 대한 투자를 비용으로 인식하는 의사결정자들이 있을 때, 우리 사회는 여전히 보안문제를 사회적인 문제로 가져갈 수 밖에 없으며 정보보안의 투자대비 효과를 운운하는 것은 과거의 인식이 되어야만 정보화의 역기능을 방어할 수 있을 것이다.

최근에 와서 정보보안에 대한 투자가 기업에 이익을 가져다 주는 사례들이 생기고 있는 것은 다행한 일이라 아니할 수 없다. 예를 들어 게임업체에서 해킹으로 인한 아이템의 유출로 피해를 입은 업체가 보안인력 및 보안솔루션을 투자하여 해킹을 대부분 방어한 결과 매출이 신장한 사례로 우린 정보보안 투자의 긍정적인 면을 바라볼 수 있다.

또한 정보보안 사고에 대한 법적인 제재조치가 강화되고 정보유출에 대한 개인적 피해보상이나 형사처벌 등의 규제에 대해 자유로워질 수 있다면 이 또한 기업의 입장에서 긍정적인 효과를 볼 수 있는 것이 아닌가? 더욱이 정보보안에 대한 투자로 인해 기업의 정보가 안전하게 관리된다면 국제적인 경쟁에서 대외 신인도 향상 및 대고객의 신뢰성을 확보하는 기대 이상의 효과를 볼 수 있는 결과를 가져오게 될 것이다.

또한 매년 수행되는 보안취약점 진단 및 평가 또는 모의해킹 등을 자칫 잘못 인식할 경우 매년 똑같은 일을 되풀이 하는 것이 아닌가 지적하고 오해할 수 있으나 이는 시시각각으로 변화하는 IT환경과 새로운 정보화 환경으로의 패러다임 변화, 다양한 해킹패턴의 변화 및 변종 바이러스의 발생 등을 인지하지 못한 것이라 볼 수 있으며 이에 대응하기 위해서는 1년에 한 번씩 수행할 것이 아니라 주기를 더욱 단축해야만 새로운 환경의 변화에 적응할 수 있는 정보보안 대책을 마련할 수 있을 것이다.

개개인의 인식변화도 중요

개인정보 유출에 대한 책임과 대응방안에 대해 말하자면, 가장 먼저는 개개인의 자신의 개인정보에 대한 인식이 변화해야 한다. 온라인 쇼핑몰을 이용할 때 정보를 입력하면서 정보이용 동의를 아무 생각 없이 한다거나, 자신의 개인정보를 타인에게 알려준다거나, 인터넷에서의 공짜 행사에 자신의 정보를 입력하는 것은 이제는 신중하게 해야 한다. 이러한 과정을 통해 자신의 개인정보가 인터넷상에서 떠돌며 누군가에 의해 보이스 피싱이나 금융피해를 가져오게 되는 것이다.

사실 작년에 일어나 대규모 개인정보 유출사건으로 우리 국민 성인들의 주민등록번호 등 개인정보가 유출된 것은 모두 알고 있을 것이다. 그럼에도 불구하고 우리는 자신의 개인정보를 보호함에 있어 더욱 철저하고 민감하게 대응을 해야 하는 것이다.

둘째로 고객마케팅을 위해 개인정보를 수집하는 업체들이 정보관리에 만전을 기해야 한다. 수집된 개인정보를 한 번의 마케팅 행사에만 사용했다고 하나 해당 정보들을 관리하지 않아 외부로 유출되고 인터넷에 돌게 한다면 기업의 사회적 책임을 다하지 못한 것이라 할 수 있다. 수집에서 폐기 전반에 걸쳐 고객의 정보관리에 최선을 다해 보호하고 관리해야 할 것이다. 또한 기업간 거래를 위한 정보제공에 대해서도 고객에 정확한 동의를 득하고 이를 제공해야 하며 제공받은 기업도 마찬가지로 고객정보 관리에 최선을 다해야 한다. 아울러 이제는 개인정보보호에 대한 수집활동이나 이용, 동의, 제3자 제공, 폐기 등 전반에 걸친 보안활동이 법적인 규제(벌금, 형사처벌)와 손해배상을 회피할 수 있는 방안이 되는 것이다.

셋째 개인정보보호에 대한 법적인 규제가 신속히 마련되어야 한다. 지금의 개인정보에 대한 법적인 규제가 여러 분야에 걸쳐 나누어져 있으나 현재 국회 계류중인 개인정보보호법이 하루속히 제정되어 일관성 있는 규제가 되기를 바란다.

그러나 중요한 것은 개인이나 기업의 입장에서 법적인 규제보다 우선하여 정보를 보호할 기업의 사회적 책임과 조직원의 개인정보보호에 대한 인식이 바뀌어야만 고객정보를 안전하게 보호할 수 있게 될 것이다. 또한 법적 규제조항들이 우리사회의 정보화 수준이나 보안에 대한 열악한 투자환경을 무시하고 기업의 책임만을 강조한 법적 규제라면 투자나 인프라로서의 인식 등 전반적인 정보보안 환경을 충분히 고려해야 한다.

정부 및 공공기관은 법·제도적 지원 뿐 아니라, 대국민 정보보안 인식제고에 대한 홍보활동에도 노력을 기울어야 할 것이다. 그리고 우리들의 자녀들에 대한 정보화 윤리교육도 더욱 강화되어야 할 것이다. 간혹 중·고등학생 또는 대학생들이 해킹을 통해 자신의 기술우위를 자랑하거나 금전적 이득을 취하고도 나쁜 일이라 생각하지 못하는 것은 중고등학교 시절 제대로 된 정보화 윤리교육을 받지 못함이 아닌가 생각이 된다. 그러므로 초등학교 및 중고등학생들에 대한 정보보안 윤리교육에 대해서도 더욱 적극적으로 교육과정을 개발하고 교육이 될 수 있도록 방안이 마련되어야 할 것이다.

넷째 정보보안 솔루션 업체들의 부단하고 지속적인 노력 또한 요구된다. 최신 해킹이나 보안침해사고, 보안피해 등을 미연에 방지하기 위한 노력들이 수반되어야 한다. 즉 보안에 대한 개발이나 R&D 투자, 기술향상, 효과적인 컴플라이언스 등 기업이나 공공기관들이 사용함에 있어 효율적이고 운영측면의 용이함을 제공할 수 있는 솔루션을 개발하고 서비스를 제공해야 할 것이다.

다섯째 언론의 책임 또한 동반되어야 개인정보 및 보안사고 예방에 도움이 될 것이다. 이는 대국민 인식제고 차원에서 언론의 책임과 역할이 필요하며 정보보안 산업에서의 각종 데이터를 통계화하는데 주도적인 역할과 참여가 요구되는 것이다. 사실 정확한 정보보안 산업의 통계치가 있다면 그 동안의 정보보안 산업에의 투자가 주먹구구식으로 되진 않았을 거라 생각된다. 따라서 언론의 사회적 책임을 각성하여 대국민 정보보안 홍보활동 및 정보보안 산업에서의 각종 통계화 작업에 언론이 앞장서는 것이 필요하다고 사료된다.

마지막으로 정보보안에 대한 국민적 인식이 변화해야 함을 다시 한 번 강조하면서 자신의 개인정보 관리에 관심을 가질 때 우리사회의 정보보안 인식이 한 단계 향상될 것이라 판단된다. 기업이나 정부·공공 기관의 정보보안에 대한 투자 및 대책은 단계적으로 추진되어야 하며 한 번의 투자로 모든 보안문제를 한 순간에 해결할 수 있다는 것은 아니라는 점을 분명히 인식해야 한다.

아울러 개인정보 유출 피해를 최소화하고 이를 사전에 막고자 하는 정부·공공 기관의 노력과 기업들의 부단한 노력이 필요하다. 또 우리 사회의 정보화의 역기능문제인 정보보안 문제가 최소화될 수 있도록 나 자신부터 시작하여 기업·업체·정부 모두가 노력을 경주해야 할 것이다.

<글 : 최동근 롯데정보통신 보안컨설팅사업본부 본부장(dkchoi@lotte.net)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>