\r\n

\r\n

개인정보유출 대란은 개인정보보호 정책 부재가 원인!

\r\n

1억 400만 건에 달하는 사상초유의 개인정보 유출사건이 발생한 상황에서 금융소비자의 불안을 치유할 수 있는 안전한 금융 거래 환경 조성을 위한 긴급토론회가 새누리당 김상민 의원과 경실련 소비자정의센터 주최로 진행됐다. 이날 토론회에서는 개인정보보호의 중심이 외부해킹에 맞춰져 있다는 것과 내부통제 시스템의 필요성 제기에도 조치가 이뤄지지 않는 것에 대한 문제가 제기됐으며, 시급한 조치로 개인정보유출 사고가 재발하지 않도록 할 필요가 있다는 의견이 제시됐다.

\r\n

\r\n

\r\n

카드 3사의 개인정보유출 사건 이후 개최된 토론회에서 개인정보보호를 위한 수단이 외부해킹에 중심을 맞춰 대응을 해오고 있던 것과 인가된 사용자에 대한 기본적인 내부통제가 간과된 것이 사실상 인정됐다. 또한, 개인정보 취급업무 중 발생하는 유출 상황을 실시간으로 인지할 수 있는 개인정보 오남용 방지 메커니즘 도입이 필요하다는 의견이 제시됐다. 이는 지난 1월 새누리당 김상민 의원과 경실련 소비자정의센터 주최로 개최된 ‘카드사 개인정보 유출 대란의 근본 해결점’을 주제로 한 긴급 토론회에서 나온 내용으로 개인정보 취급 운영 환경의 전반적인 재검토와 시스템이 마련돼야 할 것으로 보인다.

\r\n

\r\n

소잃고 외양간 고친다? 근본적인 문제 파악해야

\r\n

이에 앞서 지난해 새누리당 김상민 의원 주최로 열린 ‘개인정보보호법 시행에 따른 금융기관 영상정보보호관리 동향 세미나’에서 인가된 개인정보취급자에 대한 내부통제시스템 운영과 이에 대한 정책대안이 제시됐으나, 실질적 조치가 이뤄지지 않은 것도 도마에 올랐다. 또한, 이번 카드사 개인정보 유출 사태를 봤을 때 개인정보가 인가된 사용자에 대해 무방비로 노출된 채로 관리된다는 것은 문제가 있으며 금융개인정보에 관한 체계적인 보호절차를 시스템화하고 개인정보 접근 및 사용에 대해 관리감독을 할 수 있는 방안이 시급하다는 의견과 이에 대한 대안으로 내부통제 시스템의 명확한 정의와 세부지침 마련 또한 필요하다는 것.

\r\n

\r\n

개인정보보호법 31조 2항에서는 개인정보 보호책임자의 수행업무에서 인가된 사용자의 부정행위 자체를 실시간으로 확인 할 수 있는 ‘개인정보 유출 및 오용·남용방지 내부통제 시스템의 구축’이 의무사항으로 규정돼 있는 것을 살펴보면 이번 사태는 정부부처의 역할이 미진했다는 비난을 피할 수 없을 것이다.

\r\n

\r\n

정보유출을 방지하기 위해 마련한 암호화, 해킹방지 기술이 인가자의 권한에 의해 쉽게 무력화 되는 것을 보여준 이번 사태는 지금까지의 방편이 허술했다는 것을 설명한다. 사태에 대한 대책 마련도 중요하지만 그에 앞서 개인정보 관리에 대한 명확한 기준과 정책은 물론 부정사용을 통제하는 것에 대한 세부적인 방안이 마련돼야 할 것으로 보인다.

\r\n

\r\n

\r\n

[월간 시큐리티월드 통권 제206호(sw@infothe.com)]

\r\n

\r\n

<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>

\r\n