최근 2∼3년 사이에 개인정보 유출 규모는 10만명 단위에서 1000만명 단위로 기하급수적으로 늘어나고 있다. 개인정보 유출사고는 신용카드 위조, 보이스피싱 등 여러 형태로 악용될 소지가 높다는 점에서 심각하다. 사고의 여파가 장기적으로 이어질 가능성이 높아 초기 피해규모를 제대로 산정할 수조차 없다. 또 개인뿐 아니라 사고기업 역시 피해자들의 집단소송으로 인한 민·형사상 처벌과 배상에 시달려야 하고, 기업이미지에 부정적 영향을 끼쳐 정상적인 기업활동에까지 위협을 주는 상황으로 확대된 몇몇의 사례를 보면, 기업 역시 일순간 피해자가 돼버리는 악순환의 고리를 만든다.

　일례로 2003년부터 무선랜 해킹으로 고객의 신용·직불카드 정보를 도난당한 TJX라는 미국기업은 범인들이 훔친 정보를 악용해 위조카드를 만들어 유통·사용함으로써 피해자의 금전적 피해로까지 확대됐다. 이로 인해 이 기업은 법적 소송에 휘말려 현재까지 1300억원을 피해보상에 지출했으며, 내년에는 230억원을 더 지급해야 할 것이라고 한다.

　한편, 이들 기업이 정보보호를 등한시했기 때문에 사고가 발생했다고 할 수 있을까. 물론 여러 정보보호 전문가나 언론에서 지적했듯이 몇 가지 문제를 가지고 있기는 하지만, 이들 기업이 다른 기업에 비해 결코 정보호호 수준이 낮다고 할 수는 없다. 왜냐하면 이들 기업도 자체적인 정보보호 전담부서뿐 아니라 정책과 관련된 보안체계를 갖고 해마다 예산을 별도로 배정해 두고 있기 때문이다.

　그렇다면 나름대로 정보보호를 잘하고 있었던 이들 기업에 이러한 사고가 발생한 원인은 무엇일까. 사고원인을 면밀히 살펴보면 담당자의 실수 혹은 고의적 유출에서부터, 보안체계 미비, 외부 해커 등 그 원인이 다양해 어느 하나를 딱 꼬집어 말하기가 어렵다. 정보보호에서는 이들 원인을 총체적으로 근본적인 취약점이라고 정의한다.

　취약점은 대상을 가리지 않고 존재하며, 언제, 어디서나, 누구에 의해, 어떤 방법을 이용해 현실적인 위험 혹은 사고 전이 된다는 속성을 가지고 있다. 정보보호를 잘하고 있었던 기업에 보안사고가 발생한 원인은 이러한 취약점과 위험이라는 것에 기인한다. 다시 말해 기업활동을 위해 내부적으로 가지고 있는 고객의 개인정보는 담당자 실수가 됐든, 고의가 됐든, 아니면 해킹에 의한 것이든, 이러한 모든 것에 취약하며, 이것이 유출될 위험은 항상 있다는 것이다.

　정리하면 개인정보 유출사고의 원인은 개인정보가 가진 본연의 취약점과 위험에 있으며, 이를 해결하려면 지속적인 관리와 통제가 필요하다는 것이다. 이 해결책을 어떤 기준 혹은 정책을 두고 실행하는 것을 컴플라이언스라고 한다. 이를 기술적으로 구현한 한 예로 PC를 대상으로 해 컴플라이언스를 자동화할 수 있도록 하는 것이 있는데, 이를 네트워크 접근제어(NAC) 혹은 네트워크 접근보호(NAP) 기술이라고 한다.

　개인정보 유출사고는 어느 기업에나 일어날 수 있고, 그 피해는 앞으로 천문학적으로 커질 것이 분명하다. 그렇다면 앞으로 이러한 사고의 책임으로 문을 닫는 기업이 나올 수도 있다는 얘기가 된다. 따라서, 지속가능 경영을 목표로 하는 기업이라면 이를 항상 염두에 두고, 이에 대한 확실한 대비를 해야 할 것이다.

　유넷시스템 심종헌 대표 jhsim@unet.kr