• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

스마트한 당신, 스마트폰 개인정보는 안녕하십니까? 2014.12.10

판매점 및 대리점, 도매점에서 고객동의 없이 별도의 개인정보 수집

이동전화 위탁 대리점과 판매점간 관리적·기술적 보안관리 필요


[보안뉴스= 권오훈 동국대학교 경영정보학(MIS) 박사과정] 대한민국 헌법 제 17조 및 18조에는 ‘모든 국민은 사생활의 비밀과 자유를 침해 받지 아니한다’, ‘통신의 비밀을 침해 받지 아니한다’고 명시돼 있다.


디지털 기술을 통해 지식 및 정보 공유 접근과 활용이 편해져 삶의 질이 향상되고, 고용 창출 등으로 사회가 급속히 발전됐다. 하지만 개인정보 유출이나 해킹, 악성코드, 보이스피싱, 스미싱과 같은 사회공학기법 등의 요소도 필수불가결한 존재로 자리 잡았다. 특히 금융사 및 이동통신사, 기업 등 대규모 개인정보 유출사고는 ‘하인리히(Heinrich) 법칙’을 그대로 보여주고 있다.

 

하인리히 법칙이란 미국 최대 보험회사 트래블러스에서 업무하던 H.W 하인리히가 집필한 1931년 ‘산업재해 예방, 과학적 접근’에서 처음 밝힌 법칙이다. 약 5000건의 산업재해 분석에 근거해 경고성 징조를 무시하면 대형사고가 빚어진다는 것이다.


개인정보 유출사건을 적용해 생각해보면 대형 유출사고가 발생하기 전에 29건의 소규모 사고가 발생했고 그 이전에는 300건의 징후 및 사소한 원인들이 있었다. 소위 말하는 ‘1:29:300 법칙’이다. 이는 대형사고가 발생하기 전에 그와 관련된 소규모 사고와 징후들이 나타날 수 있는 매커니즘을 설명하는 법칙이다. 말하자면 최근 발생되는 사소한 실수와 안일한 대처가 대형사고로 발전했다고 볼 수 있다.


방송통신위원회는 2012년 국내 이동통신 3사가 본인 확인기능을 할 수 있도록 기관으로 지정했다. 또한 신용평가기관처럼 주민등록번호를 대체할 수 있는 인증수단을 자체적으로 제공할 수 있도록 했다.


그러나 개인이 온라인 게임 및 쇼핑, 웹툰 등 본인확인 인증을 하는데 이동통신사가 사용자에 대한 접근기록을 알 수 있으며 개인의 프라이버시가 유출될 수 있다는 문제가 지적됐다. 이러한 조치가 오히려 대규모 정보유출 사태의 빌미가 됐다는 것. 사이버 공격 및 해커의 위협에 대한 준비가 미흡한 기업을 인증기관으로 선정했기 때문이다.


무엇보다도 오프라인 이동통신시장에서 단말기 보조금 선납을 통한 영업은 대외적으로 비정상적인 영업으로 간주되고 있다. 하지만 이동통신사 3사는 영업실적 및 수익 강화를 위해 내부적으로 이러한 방식을 활용한 영업을 진행하고 있다.


이 과정에서 발생하는 문제점은 판매점 및 대리점, 도매점에서 별도의 개인정보(주민등록번호, 계좌번호, 이동전화번호, 은행 및 계좌번호 등)를 고객동의 없이 수집하고, 심지어 판매점과의 거래 및 공유를 위해 인가받지 않은 사설 웹사이트(카페, 클럽, SNS) 업로드 행위가 늘어나고 있다는 점이다.


또한 대리점과 다른 판매점은 무엇보다도 법적 규제가 없어 암호화, 접근통제 등 관리적·기술적 보안에 대한 관리가 대리점보다 미흡한 상황이다. 유통구조상의 최상위 기업인 이동통신사 업체의 지원 및 관리·감독의 필요성이 절실히 요구되는 이유다.


현재 통신사판매점은 이동통신사업자의 사전 승낙 없이 대리점이 무분별하게 판매점을 선정하고 있으며 대리점 사업자와 판매점 사업자의 철저한 종속관계에서 독점적 지위가 발생되고 있다. 판매점 관리 책임에 따른 증대는 곧 개인정보 문제와 직결된다.


이동통신사가 판매점 선정 시 철저한 검증 및 보안 프로세스, 고객정보에 관련한 이슈 및 관리방안을 파악한 후, 판매점 내에서 내부 관리 및 지침을 제정해 추후에 발생할 수 있는 개인정보 유출에 대한 리스크를 최소화해야 한다.


영국의 통신사 유통망 구조는 이동통신사업자(MSP: Mobile Service Provider)가 이동통신 시장의 최상위에서 단말기에 대한 판매를 직·간접적으로 반영해 결정한다. 영국은 대리점이 판매점 선정 시 이동통신사업자의 사전 승낙이 요구되지 않는 한국과 달리 소매업자(판매점)가 MSP와 직접적인 계약을 성사해 법적인 보호와 함께 지원 및 관리를 받게 된다.


MSP 측면에서는 도매업자와 소매업자의 활용 범위를 넓혀 수익성과 보안성, 특히 고객정보를 취급하는 개인정보에 대한 관리적 보안을 강화해 유출 리스크를 최소화하게 된다.


국내에서도 적절한 보조금 규제 방안으로 비정상적인 영업을 통해 수집되는 불필요한 개인정보 수집을 차단하고, 유통망의 최하위인 이동전화 위탁 대리점과 판매점간 관리적·기술적 보안관리가 하루빨리 이루어져야 한다.

또한 대리점 및 판매점에 관한 내부 관리 및 지침을 제정해 보안성을 철저하게 입증해야 한다. 무엇보다도 개인정보를 취급하는 관리자와 담당자 혹은 직원들의 보안인식 제고와 주기적인 교육을 통해 개인정보 유출 리스크를 최소화시켜야 할 것으로 본다.

[글_권 오 훈 동국대학교 경영정보학(MIS) 박사과정(ohkwon@dongguk.edu)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>