개인정보 유출로 생각해보는 기업 보안

2011년 5월... 세티즌 사이트 해킹 유출, 150만명
2011년 7월... 네이트/싸이월드 해킹 유출, 3,500만명
2011년 8월... 엡손 사이트 해킹 유출, 35만명

  올해만 벌써 3번째 해킹사고가 생겨났다. 엄청난 회원 수를 보여준 국내 대형 포털사이트 중 하나인 '네이트(Nate)'가 해킹을 당해서 약 3,500만명이라는 어머어마한 개인정보를 유출해서 그럴까... 엡손 사이트 해킹에 따른 35만명의 개인정보 유출은 작은 헤프닝 정도로 보인다.

  물론, 이런 이야기가 '정상'은 아니다. 단 1명이라도 원하지 않는 정보가 그것도 그 기업을 믿고 가입한 회원의 정보라면 문제는 심각하다. 그런데 반년도 되지 않은 사이 유출된 개인정보 유출은 약 3,700만건이다. 숫자만 놓고 생각하면 우리나라 전체 인구의 2/3 정도는 되는 수치이다. 필자 역시 세티즌과 네이트를 통해서 이미 개인정보가 유출되었다는 결과를 스스로의 노력으로 확인했다. 


  가장 최근에 일어난 '엡손 사이트 해킹 유출'에 대한 내용을 조금 더 자세히 살펴보기 위해서 홈페이지를 찾으면, 아래와 같은 '고객안내문'이라는 팝업창이 떠 있을 뿐이다.

   그리고 관련 내용으로 엡손이 보도자료에서 이야기한 것을 살펴보면... "내부 모니터링을 통해 고객의 정보가 유출된 사실을 감지하고 관련 법령에 따라 방송통신위원회에 신고했다"라고 한다. 유출된 개인정보는 한국 엡손 홈페이지에 가입한 35만명의 아이디(ID)와 비밀번호, 이름, 주민등록번호이다.


  너무나 반복적인 일의 반복처럼 '고객 안내문'이라는 이름으로 사과문을 올리는 모습과 유출된 개인정보를 위한 행동으로 고객 스스로가 타 사이트의 비밀번호까지 변경해 주실것을 요청하고 있다. 제목부터 '안내문'이 아니라 '사과문'이라는 느낌을 주어야 하는 것은 당연하며, 요청하는 것이 아니라 '부탁'드려야 하는 것이다. 물론, 여기서 말꼬리를 붙잡고 상황을 더욱 어렵게 하고 싶은 마음은 없다. 그런데도 이렇게 이야기하는 것은... 개인정보 유출에 대한 문제가 발생하였다면 최소한 그 기업을 믿고 소중한 개인정보를 입력한 사용자에게 제대로 된 사과를 할 줄 알아야 한다는 것이다.


  앞에서 이야기한 것처럼 '한국 엡손'만의 문제는 아니다. 지금 이 순간도 임의의 기업에 홈페이지가 해킹당하여 개인정보가 유출된다고 한들 이 이상의 대응을 보여줄 수 있는 기업이 있을까? 대응만의 문제가 아니라 어떤 준비를 하여 미리 대처하는 자세를 갖추려고 노력하는 기업이 있을까?


  기업은 '이익'을 위해서 바쁘게 생산하고 판매한다. 그것이 물건이냐 서비스냐가 다를 뿐이지 무엇인가를 판매해야 한다는 점은 동일하다. 그런 판매를 위해서 필요한 것은 사용자들 즉, '고객'의 정보이다. 그러니 자연스럽게 고객들의 개인정보를 수집하는 것이다. 이미 몇년 전 부터 '주민등록번호' 입력에 대한 개인 계정 생성의 문제점은 인터넷과 TV 언론등에서 이야기되었지만... 아직도 변함없이 수집되고 있다. 개인정보를 이렇게 수집하는 것은 그렇다고 하자... 그런데 수집한 개인정보는 '기업'의 것이 아니라 그 '고객'의 것이다. 그러니 당연히 고객의 '개인정보를 안전하게 보호할 책임'이 기업에 있는 것이다.

  그런데, 기업들은 어떤가? 말로만 '보안에 대한 중요성'을 이야기할 뿐... 어떤 투자도 하고 있지 않다. 대기업의 경우도 구색맞추기 정도의 수준을 보여줄 뿐이다! 그러니 그것을 보고 벤치마킹하는 중소기업들의 보안수준은 더 심각하다. 어떤 사이트에 개인정보를 입력하는 것은 그것에 대한 유출까지도 생각해야 할 정도로 기업들의 보안 수준은 문제를 갖고 있다.


  또, 개인정보의 유출에 대한 대응은 고작 '사과문(안내문)'이 전부이다. 내 개인정보의 유출로 피해를 보는 것은 기업이 아니라 개인이다. 그런데 그런 유출은 기업을 통해서 이루어졌다. 만약, 기업이 개인정보를 유출할 때 개인고객들에게 피해에 대한 보상을 한다면 이야기는 다르다. 지금처럼 사과문 하나로 이루어지는 것이 아니라 일정한 보상이 있다면 기업은 보안에 조금 더 신경쓰지 않을까 생각한다. 이런 생각은 '주객전도'라는 생각이 들 정도로 말이 안되는 것이다. 하지만, 그만큼 우리나라 기업들의 '개인정보' 관리는 문제가 있고, 개인정보 유출에 대한 대응은 더 문제가 크다는 것을 인지해야 한다. 그리고 그것에 대해서 이제는 미리 준비할 수 있는 필요성을 느껴야 한다는 것이다.