올해들어 잇따라 발생한 정보 유출 사고는 해킹을 통해서나 고객 정보에 접근할 수 있는 내부자에 의해 수많은 사용자의 개인 정보가 유출될 수 있다는 것을 보여주었다.

일련의 사건은 개별적인 것처럼 보이지만, 금전적 이익을 노리는 조직적 범죄와 연결돼 있다. 갖가지 지능적인 방법으로 대량의 개인 정보를 수집한 이들은 각종 스팸 발송 업체나 보이스 피싱 업자, 대규모 온라인 게임 작업장 등에 판매한다. 정보를 구입한 업자들은 ‘그들만의 비즈니스’를 한다. 무고한 사용자들만 아무것도 모른 채 스팸 홍수에 시달리거나 보이스 피싱의 피해자가 되거나 아이디(ID)를 도용당하는 등의 피해를 당한다.

이런 사건은 우선 급변하는 환경에 대응하지 못하는 구조적인 문제에서 출발한다. 필자가 정보보안 산업에 뛰어든 10년 전의 정보기술(IT) 상황과 지금은 다르다. 정보에 대한 호기심에서 시작된 인터넷이 이제는 금융 거래, 정부 민원, 통신, 상거래 등 전 분야에서 우리생활의 필수 도구가 되었다.

하지만 보안에 대한 기본 인식은 별로 나아지지 않았다. 포털을 비롯해 쇼핑몰이나 게임업체, 심지어 금융권에서도 인터넷 회원을 끌어들이고 유지하기 위해서는 마케팅 투자를 아끼지 않으면서, 그 회원들의 개인 정보를 보호하기 위한 인프라 투자에는 인색하다. 보이는 성과를 우선시하는 우리나라 IT 현장에서는 정보보안이 소홀하게 다뤄지는 것이 사실이다. 또 어떤 보안 사고가 터지면 실무자의 책임을 추궁하는 데만 몰두한다.

정보보안은 자신의 사업을 지탱하는 고객을 진정으로 생각하는 마음이 전제되어야 한다. 선진국의 개인정보보호 정책은 고객이 맡겨놓은 정보를 보호할 대책이 구축되어 있지 않으면 사업을 전개할 자격이 없다는 게 기본 개념이다. 지난 4월 열린 해외 콘퍼런스에서 한 외국 참석자는 우리나라의 정보 유출 사고 배상 금액을 보고 “소비자들이 그 정도로 물러서느냐.”고 되물었다. 미국에서 그런 사고가 났다면 회사 전체가 휘청거릴 정도로 배상 규모가 크기 때문이다.

개인정보보호법이 아직 제정되지 않은 현실을 차치하더라도, 글로벌 기준에 비추어 우리가 얼마나 뒤떨어진 체계와 시스템을 가지고 있는가를 잘 보여주는 사례이다.

재발방지를 위해 정부 차원의 대책이 필요하다. 정보보안의 핵심은 정보보안 정책의 설정과 규정 준수이다. 우리 나라는 글로벌 스탠더드에 맞는 규제나 가이드라인이 매우 부족하기 때문에 이를 정립하는 것이 급선무이다. 미국의 경우 올해 정부의 IT 투자 예산 중 10% 정도를 정보보안에 투자한다. 이는 기업에서도 비슷한 수준의 투자를 하도록 가이드라인이 된다. 반면에 우리나라는 그 절반 수준에도 미치지 못한다.

이제 정보보안은 공공기관이나 기업의 존립을 좌우하는 중요한 사안이라는 인식을 가져야 한다. 전사적인 보안의식 강화는 물론 전체 IT 투자에서 최소 5% 이상은 보안에 인적·물적으로 투자를 해야 한다. 웹사이트에 대한 보안뿐만 아니라 기업 내 보안을 점검하고 적극적인 투자를 해야 한다.

최근 일련의 사태는 결코 예사롭지가 않다. 안타깝게도 여기에 대응하는 체제가 비전문적이고 일관성이 없는 경우를 종종 보게 된다.IT 강국이 유해 정보와 불법 거래만 득실거리는 세상으로 전락하지 않도록 전문적이고 체계적인 접근이 절실히 필요하다.

김홍선 안철수연구소 대표