VOOVO SYSTEMS

占쌉삼옙占쏙옙占쏙옙

제목 개인 정보보호 왜 해야 하는가?

딸아이가 '아빠, 문자 왔어'하며 전화기를 건넸는데 광고였다. 신형 스마트폰 판매, 고금리 대출, 불법도박 등 사생활을 깊숙이 파고드는 스팸에 시달리면, 불쾌감을 넘어 '내 개인 정보는 얼마나 많이, 누구의 손에 들어가 있을까?'하는 두려움마저 든다.

 

통계에 따르면 지난 10년 동안 접수된 개인 정보 침해 신고 건수는 100만 건이 넘으며, 그중 주민등록번호와 개인신용 정보에 대한 신고는 90%를 차지한다. 끊이지 않는 개인 정보 유출의 가장 큰 이유는 개인 정보가 돈이 되기 때문이다. 개인 정보 가격은 상세한 신상 내용이 포함될수록 높아지는데 한 명당 50원에서 5000원 이상까지 거래된다. 전 세계에는 합법적 데이터 브로커만 해도 4000개 이상 활동하고 있으며 시장규모는 2000억 달러가 넘는다.

 

한편, 개인 정보 유출로 인한 기업 손실도 해마다 늘고 있다. 2014년 카드 3사의 대량 개인 정보 유출 사고의 분석에서는 직접 비용은 450억원 규모이고 고객 이탈, 징계, 배상에 따른 비용을 포함한 총 손실 규모를 4800억 원으로 추정했다. 여기에는 신용도 하락에 따른 추가 손실은 포함하지 않은 규모다. 다른 나라의 경우 조사기관마다 편차가 있지만 피해 규모는 해마다 15% 이상 증가하고 있다. 

 

 

<ⓒ게티이미지뱅크>

 

개인 정보 오남용으로 인한 사회적, 경제적 비용을 줄이고, 인권을 보호하기 위해 세계 각국은 제도적 장치를 강화했다. 2016년 기준 70개 이상의 국가에서 개인정보보호법을 시행하고 있으며 최근 10년 동안 40건 이상의 법 개정이 집중적으로 이뤄졌다. EU의 GDPR(General Data Protection Regulation)는 작년 발표 후 유예기간을 거쳐 내년 5월 시행된다. 이 법은 EU 지역 주민을 대상으로 사업하는 모든 기업에 적용되며, 본사 위치가 EU 밖에 있거나 서버를 타 지역에 두어 우회해도 적용된다. 벌금은 전 세계 매출의 2~4% 또는 2000만 유로까지 부과할 수 있다. 미국의 FTC 판례를 보면 10년간 200여건 이상의 벌금과 시정명령을 내렸고 2012년 구글에 2250만 달러라는 기록적인 과징금을 부과하는 등 소비자 보호 차원에서 개인 정보 보호를 다뤄왔다. 각국은 개인 정보를 다루는 사업자들에게 더욱 강력한 의무와 책임을 부과한다.

 

우리나라도 정보통신법, 개인정보보호법 등 10여 개의 개인정보보호 관련법이 있으며, 수차례 개정을 통해 점차 보호를 강화해 왔다. IT 환경의 빠른 변화를 겪으면서 개인 정보 유출에 따른 피해와 손실을 줄여야 한다는 사회적 공감대는 더욱 커지고 있다. 개인의 자기 정보에 대한 통제권을 보장하는 쪽에 무게가 실리고 있다. 특히 개정된 개인정보보호법에서는 주민등록번호와 민감한 개인 정보를 다룰 경우 모두 암호화하도록 했다. 이는 암호화가 보안 산업에서 잠재적 유출에 따른 위험을 줄이는 가장 효과적이고 강력한 수단으로 사용되고 있기 때문이다. 기업은 그동안 각자의 사업 정보 보호를 위해 암호화를 적용해 온 바 있다. 법에서 개인 정보도 암호화하도록 의무화 한 것은 그만큼 개인 정보의 중요성과 보호 의무를 강조한 것이라 할 수 있다. 

 

시행령에 따르면 개인 정보 암호화 조치는 올해 말까지 완료해야 한다. 기업은 각자 환경에 맞는 최적의 보안 솔루션을 선택해야 한다. 이때 반드시 고려할 것은 두 가지이다. 첫째는 강화된 법률뿐 아니라 개인 정보에 관해 높아진 소비자 인식을 고려해야 한다. 유출 시 소비자 신뢰 하락에 따른 사업 기회 손실 비용은 어느 때보다 커졌다. 직접 복구비용을 훨씬 웃돌고 있으며, 소비자를 주로 상대하는 서비스 기업은 존폐 위기까지 놓인다. 둘째는, 올바른 암호화 방식 선택이다. '암호화' 자체는 보안이 아니며, 회사에 맞는 '암호화 체계'를 갖춰야만 정보 보호 목적을 달성할 수 있다. 정보 보호라는 본질에 맞도록 암호화를 하려면 정보 수집 처리 보관 파기에 이르는 각 업무 단계를 살펴, 위험을 최소화할 수 있는 체계를 도입해야 한다. 정보 보안은 전 구성원이 함께 협력해야 달성할 수 있다. 법규에 대한 면책이나, 도입 업무의 간편성만을 고려하는 경우, 사고 대비에 미흡해 투자가 낭비되기 십상이다.

 

 

<한인수 펜타시큐리티 기술협력책임자>

 

개인 정보를 소홀히 취급한 기업을 과연 소비자가 신뢰할 수 있을까? 소비자 신뢰 없이는 지속 성장은커녕 생존조차 보장받기 어려운 치열한 시장 환경이다. 제품, 서비스, 업무 프로세스에 걸쳐 높은 보안 기준을 가진 기업에 소비자는 찬사를 보낼 것이다. 개인 정보보호에 대한 투자는 기업에게 경쟁력을 높일 수 있는 기회이다. 마음 놓고 개인 정보를 맡길 수 있는 기업이 더욱 많아지길 기대한다.


- 출처 : 안랩(2017.05.25)