개인정보유출 ‘또야’하는 보안 무감각 역기능도 염두해야

또 다시 개인정보 대량 유출사고가 발생했다. 이번에는 개인정보 1300만건이다. 2000만건, 650만건 등 이제 유출건수는 관계없이 터졌다하면 대량 유출사고로 이어지고 있다.

최근 일련의 유출사건들은 이미 지난해, 아니 그 이전부터 유출된 개인정보들이다. 다만 관련 해커나 범죄자들이 한달 사이에 검거되면서 이슈를 만들고 있는 것이다.

그런 점에서 일련의 개인정보 유출사건들은 허버트 하인리히(Herbert W.Heinrich)의 ‘하인리히 법칙’을 대입해 생각해 보게 된다. 작은 실수나 위험 징후가 큰 실패로 연결되는 메커니즘을 설명하고 있는 ‘하인리히 법칙’은 대형사고 한 건이 발생하기 이전에 이와 관련 있는 소형사고가 29회 발생하고, 소형사고 전에는 같은 원인에서 비롯된 사소한 증상들이 300번 발생한다는 1:29:300법칙이다.

최근 연이어 발생하고 있는 대량 개인정보 유출사건은 그런 측면에서 사소한 실수가 대형 재해로 확산됐다고 볼 수 있다. 큰 사건사고는 사실 예전부터 수많은 경고를 보내왔던 경우가 많음을 정립한 ‘하인리히 법칙’은 모든 일의 배후에는 그 일을 가능하게 한 다양한 징후와 원인이 존재한다고 말하고 있다.

지난 2000만건 개인정보 유출사건으로 국내에서는 최초로 해킹당한 업체가 입건됐고, 이번에는 해킹당한 업체 20여개 관리자 32명이 입건되는 초유의 사태가 벌어졌다. 해킹을 당한 피해업체임에도 불구하고 이들 업체들은 고객정보를 관리하지 못한 책임을 지게 된 것이다. 즉 ‘하인리히 법칙’은 이들 업체들이 1300만건의 개인정보가 유출될 수 있게 한 징후와 원인을 제공했다고 설명하고 있는 것이다. 해킹을 당할 수밖에 없었던 불안전 요인을 이들 업체들은 가지고 있었던 것이다. 기술적·물리적 보호조치 등을 마련하지 못했기 때문이다.

보안에 대한 투자는 수익과는 무관하다. 불안전 요인으로 사소한 증상 300번이 발생하고, 이게 쌓여 29번의 소형 사고가 나서 결국엔 1건의 대형사고가 발생하는 것을 사전에 예방하는 것이다. 직접적인 수익은 발생하지 않지만 보안에 대한 투자는 이렇듯 대형사건 1건으로 파생되는 경제적 손실 등을 사전에 막을 수 있는 것이다.

일련의 개인정보 유출사건들은 정보보호에 대한 경각심을 사회적으로 갖게 하는 계기를 마련하는 긍정적인 측면도 있지만 ‘또다시 대형 개인정보유출사건 발생’의 반복은 국민들로 하여금 ‘또야’하는 식으로 개인정보유출이 이젠 너무도 자연스럽고, 정보보호에 대해 무감각해지는 역기능으로 작용할 수도 있음을 간과하지 말아야 하겠다. 이는 행정안전부를 비롯해 방송통신위원회나 한국인터넷진흥원 등의 관련 국가부처·기관이 나서 힘써야 할 대목이다.

과거 성수대교, 삼풍백화점 붕괴는 어느 한 순간에 발생한 것이 아니다. 부실공사로 인한 불안전의 요인이 있었기 때문에 발생한 것이다. 개인정보 유출사건 역시 보안에 대한 부실공사로 비롯됐다는 것을 우리는 일련의 개인정보 유출사건들을 통해 배워야 할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>