이재우
동국대 국제정보대학원 석좌교수
초대 한국정보보호진흥원장
해킹 사건이 연이어 발생하고 있다. 해킹을 당한 기업의 위상은 추락하고, 소중한 개인정보 유출로 인해 불안에 떠는 피해자들은 늘어나고 있다. 해킹에 대한 우려와 피해가 확산되면서 업계의 과도한 개인정보 수집 관행을 질타하고, 차제에 개인정보 보호와 관련한 정부의 법 제도 개선과 방지책을 마련해야 한다는 사회적 목소리가 커지고 있다.
자고로 ‘물 샐 틈 없는 바가지’라야 진정한 바가지라 할 수 있다. 하지만 현실적으로 물 샐 틈 없는 보안시스템의 구축은 불가능하다. 날로 지능화·고도화하는 해커들의 공격 기술에 대해 100% 안전하다고 말할 수 있는 보안시스템은 존재하지 않는다. 그래서 최신 기술로 이중, 삼중 안팎을 두르고 인(人)의 장벽을 쳐 막고 감시하는 게 최선의 보안시스템이라 할 수 있다.
정부와 기업들은 과도한 개인정보 수집 관행에 제동을 걸자는 최근의 사회적 논의에 귀를 기울여야 한다. 해킹 사건이 좀처럼 근절되지 않고 있는 것은 해킹한 정보 자체가 돈이 되기 때문이다. 해킹한 정보들은 음성적으로 거래되고, 불법적으로 악용된다. 피해는 국민 개개인에게 되돌아온다. 만약 기업들이 불필요한 고객 정보를 보관하지 않는다면 해커들은 공격 대상을 찾지 못해 스스로 떠돌거나 존재 기반을 잃어버리게 될 것이다. 최근 늘어나는 타깃 해킹의 주요 목표가 되는 개인정보를 최소화하면 기업이 해킹 당하더라도 최소한 개인정보 유출로 인한 2차, 3차 피해를 줄일 수 있게 된다.
이런 관점에서 SK커뮤니케이션즈가 해킹 재발 방지 차원에서 ‘9월부터 주민번호를 수집하지 않겠다’고 한 것은 환영할 만하다. 훔칠 게 없는 집에 도둑이 들지 않는 것과 같은 이치다. 또한 9월 말 시행되는 개인정보 보호법과 함께 실효성 있는 시행령들이 뒷받침된다면 더욱 좋을 것이다. 정부는 개인정보 수집을 규정하거나 조장하는 법 제도를 정비해 기업들이 불필요한 고객 정보를 수집하지 못하도록 하고, 꼭 필요한 정보는 더욱 안전하게 보호하도록 의무화하며, 이를 위반했을 경우 엄중하게 책임을 물어야 한다.
규제는 과감하게 풀고, 업계에 자율권을 보장하되 업계는 핵심 정보를 반드시 안전하게 지켜야 한다는 인식을 심어주어야 한다. 정부는 차제에 해킹 사건이 연이어 발생하고, 피해를 보는 고객과 국민이 늘어남에도 적절한 처벌과 보상이 이뤄지지 않는 현재의 모순된 고리를 끊어야 한다.
기업과 기관들은 이러한 노력에 더해 유사시 해킹 피해를 최소화하고 신속하게 복구할 수 있는 사전 위기대응 지침을 갖춰야 한다. 위기대응 지침에는 해킹 방지 및 피해 최소화, 2차 피해 확산 방지를 위한 방법들이 구체적이고 일목요연하게 명시돼야 한다. 해킹 자체를 원천적으로 차단하는 것이 무엇보다 중요하지만 정작 해킹 사건이 일어났을 때 신속하게 사태를 파악하고 일사불란하게 대응할 수 있는 유기적 시스템을 갖추는 것도 중요하다. 그래야만 기업이나 고객들이 볼 수 있는 2차, 3차 피해를 예방하거나 최소화할 수 있을 것이다. 고객을 최우선 보호하고, 기업도 지속 가능한 경영환경을 구축해야 한다.
이재우 동국대 국제정보대학원 석좌교수 초대 한국정보보호진흥원장
