• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

카드 3사 개인정보 유출사고의 시사점 2014.07.30

개인정보의 안전한 활용 위한 보안은 필수


[보안뉴스= 김제홍 개인정보보호위원회 기획총괄과장] 2014년 1월 8일 검찰(창원지검)은 3개 카드사로부터 개인정보를 불법수집하여 유출한 KCB 직원 등을 기소했다고 발표했다. 유출된 자료에는 성명·주민번호·전화번호 등 개인식별정보와 카드번호·유효기간·결제계좌 등 개인신용정보 등 총 1억 581만건이 포함되어 있었다.


금융감독원에 따르면 이번 카드 3사 유출사고는 2012년 중국상하이로드웨이d&B의 1억5천만건, 2009년 미국 하틀랜드페이먼트시스템즈의 1억3천만건에 이어 역대 3번째 규모이며 국내 유출사고 중 최대 규모에 해당된다(종전 1위 네이트 해킹 3500만건).


카드 3사 유출사고는 그간 ICT 선도국가로서의 국가 이미지를 실추시키고 개인정보보호 정책에 대한 국민들의 불신으로 인해 사회 경제적으로 많은 손실을 입었다고 할 수 있다. 개인정보 유출로 인한 도용, 피싱 등 경제적 피해 뿐만 아니라 사생활 노출에 따른 불안감에 따른 정신적 피해도 무시할 수 없다.


또 개인에 관한 모든 데이터베이스의 키 값으로 작용한 주민번호의 수집 및 사용을 방치한 정부의 안일함에 대한 불신이 쏟아져 앞으로는 주민등록을 폐지하거나 대체하자는 목소리도 드높다.


개인정보보호는 비용이 아닌 투자

사고가 발생했던 카드 3사는 개인정보보호 및 보안시스템 구축을 투자가 아닌 비용으로 인식했다고 볼 수 있다. 암호화 프로그램 및 외부인에 대한 접근통제도 미흡했다. 자사직원이 아닌 외부용역업체 직원이 권한 없이 중요한 개인정보에 대한 접근권을 가진 것이다.


개인정보보호를 소홀히 해서 생기는 손해를 계산할 수 있을까? 직접적인 피해가 있다면 증명하기 쉽겠지만 무형적인 손해, 즉 개인정보 유출에 대한 불안감 등을 간접적으로 계산하는 가상가치산정법(CVM) 등을 이용하여 손해를 계산할 수 있다.

이번 유출 사건으로 전 국민들이 불안에 떨고 집단적인 소송에 참가하고, 3사 대표이사들이 사임을 하는 것만 보아도 개인정보의 가치가 결코 낮은 것은 아니라는 반증일 것이다.


기업은 영업정지등에 따른 경제적 손실과 소비자 신뢰저하 등으로 기업 경쟁력에 악영향이 발생하는 등 막대한 피해를 입게 되었다. 개인정보 유출에 따른 사회적 손해 및 기업이미지 실추 및 손해배상 등을 고려하면 개인정보보호 시스템 구축은 결코 비용이라고만 할 수 없을 것이다.


개인정보보호위원회의 ‘2013년 개인정보보호 실태조사’ 결과에 따르면 민간기업의 경우 72.7%가 개인정보보호 조직이 없으며, 개인정보보호전담조직 및 정보보호 조직 보유는 전체 2.1%에 불과하다고 한다. 게다가 개인정보보호인력은 평균 0.55명에 불과했다. 또 민간기업의 경우 95.9%가 개인정보보호예산이 없으며, 전체 평균은 3백5십만원 정도였다(300인 이상 기업의경우 평균 6천백만원).


개인정보의 보호와 활용은 함께 가야

시대적 담론인 빅데이터, 사물인터넷(IoT) 등 ICT 첨단기술은 국민들에게는 맞춤형 서비스를 통한 편익의 극대화, 기업차원에선 다양한 서비스 및 시장을 창출해 영업이익을 극대화할 수 있을 것이다.


조금 과장해서 말하자면, 첨단 ICT 기술의 활용을 통한 ‘디지털 유토피아’를 예상할 수 있다. 반면 이용자의 일거수일투족이 실시간으로 수집되어 오남용될 여지도 크게 증가하고 있다.


작년 2월 26일에 페이스북 회원 중 통신분야 기술자를 대상으로 실시한 국제전기전자기술자협회(IEEE)의 설문조사 결과에서 IoT 첨단 기술 활용을 위한 가장 큰 이슈로서 꼽은 것이 ‘개인정보보호 등 보안성 확보’였다.


기기와 데이터가 보다 밀접하게 연결됨에 따라 개인정보의 침해 가능성이 높아지므로 개인정보보호의 필요성이 증대하고 IoT 기술 개발 초기 단계에서 개인정보 및 데이터가 손쉬운 해킹의 타깃이 되고 있는 실정에서 특히, 의료정보 등 민감한 개인정보를 다루는 분야일수록 프라이버시 이슈가 IoT 성장에  핵심적인 사안으로 본 것이다.

 

     


개인정보보호와 활용은 서로 대척점에 있는 것이 아니라 보호와 활용은 물컵의 물과 같은 것이다. 물이 활용이라면 물컵의 빈 공간은 보호가 되는 것이므로 같은 현상을 보는 두 가지 관점이 아니겠는가.


우리 개인정보보호위원회도 출범 후 스마트폰으로부터 처리되는 개인정보보호를 위한 제도개선, 금융지주회사법상 고객 동의 없는 정보 제공에 대한 제도 개선 등  개인정보의 안전한 활용과 정보주체의 권익보호(개인정보자기결정권 보호)를 위해 노력해왔다.


향후 디지털사회에서 개인정보의 유출과 오남용으로 인한 국민의 피해 예방을 위해 감시자, 조언자로서의 역할이 우리 위원회의 소명이라고 할 것이다.

[글 _ 김제홍 개인정보보호위원회 기획총괄과 과장(jaykim@korea.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>