전자정부의 보안 취약성을 묻는 질문에 임종인 고려대학교 정보경영공학 전문대학원장은 한미 FTA 문제를 먼저 꺼내들었다. 한미 FTA의 첨예한 쟁점에 금융정보에 대한 부분이 있었으나 이를 제대로 아는 사람은 거의 없다고 말했다. 한미 FTA를 반대하는 시민단체들도 이 점을 강조하면서 인건비가 싼 인도나 중국 등 제3국가에서 우리 정보를 관리하게 되면 정보유출로 인한 피해는 더욱 심각해질 것이라고 주장하고 있다.

임종인 교수는 이어서 한미 FTA 체결로 시장이 개방되면 미국의 대형 로펌이 들어올 것이며, 대형소송이 잇따라 발생하고, 이 중에는 정보보호에 대한 소송이 많아질 것이라고 지적했다. 지금과 같은 보안의식으로는 이같은 소송에서 결코 이길 수 없으며, 이로 인해 지출되는 비용은 그대로 미국의 로펌으로 들어가게 된다고 임 교수는 강조했다. 그는 는 최근 몇 년간 발생한 정보보호 유출과 관련한 소송을 예로 들면서 설명을 이어갔다.

미국의 신용정보회사인 Choice Point사는 14만여 명의 고객정보가 누출돼 이 정보를 이용한 명의도용이 이뤄지면서 1000만 달러의 벌금과 500만 달러의 손해배상을 판결받았다. 일본은 2004년 개인정보보호법이 실시되자 그 해에만 기업에 판결된 손해배상액이 4조 9500억 여 원이었다. 많은 중소기업이 손해배상 때문에 문을 닫기도 해 ‘기업 돌연사’라는 신조어가 등장하기도 했다.

정부·공공기관 역시 손해배상 소송에서 자유롭지 못했다. 같은 해 교토 우지시는 1인당 1만5000엔의 손해배상금을 지불하는 확정판결을 받았다. 우리나라에서 일어난 정부·공공기관 홈페이지 개인정보 유출 사건에 대해 국민들이 집단소송을 제기했다면 우리 정부 역시 막대한 손해배상을 해야 했을 것이다.

“최근 세계적인 추세는 개인정보 관리와 보호에 대한 기업의 책임을 묻는 쪽으로 진행되고 있으며, 기업의 투명·윤리경영을 강조하고 있어 기업 뿐 아니라 정부·공공기관의 정보보호 정책은 더욱 그 중요성이 커지고 있다.”

임종인 교수는 “이 때문에 대부분의 선진국에서는 이미 개인정보 보호를 위한 준수요건을 담은 다양한 컴플라이언스를 도입하고 있다”고 강조했다. 유럽연합(EU)의 경우, 강력한 개인정보 보호지침인 EU Privacy Directive와 이에 준하는 각국의 개인정보 보호법을 갖고 있다.

미국은 지난해 민사소송법 개정을 통해 사고 발생시 소송을 위한 디지털 증거 확보를 위해 각 기업이 디지털 포렌식 도구를 사용해야 한다는 의무규정을 마련했다. 이 법안 때문에 삼성전자는 Mosaid 사와의 분쟁시 법정 증거물인 이메일을 훼손했다는 이유로 56만 달러의 벌금을 부과 받기도 했다.

미국의 신회계감사법인 Sarbane-Oxley 법안(SOX)은 기업정보의 보안과 고객 프라이버시 보호를 위한 높은 수준의 규제를 강제하고 있다. 임 교수는 “이제 개인정보 보호는 기업의 사활이 걸린 심각한 경영 리스크 중의 하나가 되었으며, 위기관리 차원에서 접근해야 할 사안이 되었다.

전자정부도 마찬가지”라고 강조했다. 전자정부에서도 보안을 ‘Risk Management’의 영역으로 인정하지 않으면 국가경쟁력이 끝없이 하락할 것이다. 전자정부 보안 취약성으로 공격을 당해 피해를 입은 국민으로부터 소송을 받는 등 시간적, 금전적으로 손해 받는 것은 차치하고라도, ‘보안 무법천지’라는 불명예를 안게 되는 피해를 안게 된다. 이는 국가의 이미지 손상일 뿐 아니라 세계무대에서 우리나라의 IT 기술력을 인정받지 못하고 산업이 위축되는 결과로 돌아오게 될 것이다.

그러나 우리나라의 정부관료의 보안의식은 거의 없는 것이나 다름없다. 정보보호에 대한 인식이 많이 좋아졌다고는 하지만, 여전히 보안과 관련한 인력과 예산투입은 뒷전으로 밀리고 있다. 예를 들어, 산업자원부에서 중점적으로 추진하고 있는 로봇산업은 사소한 오류에도 국가에 막대한 피해를 입힐 수 있는 첨단 IT 산업인 만큼, 사용자가 로봇의 작동을 멈추거나 없앨 수 있는 권한이 주어져 있는지 여부가 매우 중요하다.

이 때문에 로봇산업에서 인증과 관련된 부분이 아주 중요하지만, 산자부는 산업 활성화에만 힘을 쏟고 있다. 보건복지부가 지난해 발표한 건강정보보호법 역시 건강정보 보호보다 이용·촉진으로 치중되어 있다. “우리 정부는 정보보호 관련 정책은 무시한 채 먼저 서비스를 시작하고 본다. 이는 결국 국제무대에서 경쟁력 하락으로 이어진다. 전자정부가 이를 간과한다면, 전자정부의 근본부터 흔들리는 심각한 문제에 직면하게 될 것이다.”

임 교수는 전자정부가 정보보호에 대한 구체적인 방안을 마련하지 않으면 그 피해는 상상을 초월할 정도로 커지게 될 것이라고 거듭해서 강조했다.

[월간 정보보호21c 통권 제80호 길민권/김선애 기자(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>