[개인정보 유출 사고 대책]

신용정보 사회 위기 어떻게 치유할 것인가


1억400만건이라는 사상 초유의 카드사 개인정보 유출로 인해 신용정보 사회가 위기를 맞고 있다. 지난 2004년 '신용카드 대란'에 이어 '제2의 신용대란'으로 불릴 만하다. 우리나라 금융회사의 신용카드 발급은 1억장이 넘는다. 경제활동인구 한 명당 평균 5장 이상의 신용카드를 갖고 있다는 의미다. 한국금융복지정책연구소에 따르면 가계 소비지출 가운데 신용카드 이용 비중은 미국이 15% 수준이지만 우리나라는 60% 안팎에 달한다. 신용카드를 이용한 소비가 그만큼 많다는 것이다. 최근 정보 유출 사건 이후 정부가 연일 대책을 쏟아내며 성난 민심을 달래고 있지만 개인 정보에 민감한 국민의 불안이 여전한 이유다. 대규모 개인 정보 유출 사고. 무엇이 문제의 발단이었고, 현 사태를 진정시킬 방안은 무엇일까. 또 향후 똑같은 전철을 밟지 않기 위해 어떤 조치와 인식이 필요할까. 파이낸셜뉴스는 '사상 초유의 정보 유출 사고'를 주제로 '긴급 지상 좌담'을 가졌다.

26일 전문가들은 데이터 암호화와 보안관리, 접근 제어장치 마련, 정보접근 권한과 관리 프로세스 구축, 지속적인 감시 등 구체적인 대안을 제시했다. 또 금융회사에 대한 징벌적 과징금에서 한 걸음 더 나아가 향후 개인정보 유출 땐 개인 손해배상금 지급 등을 포함한 법 개정도 검토할 것을 제안했다.

―개인정보 유출 사태 배경은.

▲이문형 보메트릭코리아 지사장=이동식저장장치(USB) 관련 보안 시스템이 작동하지 않았고, 관리 소홀이 문제의 발단이었다. 서버 측 데이터에 대한 보안 솔루션 미적용과 컴퓨터 보안 솔루션도 미흡했다. 앞선 정보기술(IT)과 정보보안 기술 도입으로 유명한 금융사가 정작 외주 회사 직원으로부터 비롯된 정보유출을 막지 못했다.

▲이재연 한국금융연구원 선임연구위원=카드사가 신용카드 업무를 위해 많은 정보를 수집했고, 제휴업체 등의 마케팅을 위해 정보를 수집·보유·제공하고 있음에도 보안에는 실패한 사건이다.

▲정운영 한국금융복지정책연구소 소장=금융회사들의 과다한 개인정보 수집과 허술한 보안이 문제였다. 고객정보는 정보의 파급 특성상 유출 후 중도차단이 어렵다. 회복되더라도 이미 침해된 권리는 원상회복이 불가능하다는 것이 더 큰 문제다.

▲이군희 서강대 교수=이번 카드사 개인 정보 유출 사건은 지난 2004년 카드대란 이후 10년 만에 발생한 '제2의 신용대란'으로 불릴 만한 사회적 사건이다. 이번 사건은 현재 신용정보 유통시장 환경에 물음표를 던져준 셈이다. 변화가 요구된다는 것이다. 건전한 신용정보 유통시장에 대해 고민하고, 정보보호의 중요성을 인식하는 계기가 되어야 한다.

―고객 불안감 해소를 위해 절실한 대책은.

▲이 교수=불법 유통으로 인해 발생할 수 있는 피해 유형을 파악해 알려야 한다. 또 피해가 발생하면 손해배상을 포함한 법률적 지원도 검토해야 한다. 신고보상체계 확립 등 적극적인 대책도 필요하다.(정부는 불법 정보유통 신고 시 1000만원까지 보상하는 신고포상제 도입을 검토하고 있다) 또 '개인정보유출 피해센터'를 통해 구체적인 피해 사례를 접수하고 국민들에게 자세히 알려야 한다.(정부는 금감원과 각 지원, 서민금융종합지원센터(17개소), 금융협회 등에 '불법유통 개인정보 신고센터'를 설치키로 했다)

▲정 소장=국민 불안 해소를 위해선 2차 손해가 발생했을 때 어떻게 구체적으로 대처하고 확실히 보상받기 위한 매우 명료하고 간단한 절차를 제시해야 한다. 정보 유출에 따른 신용카드 불법 사용 땐 결제내용을 확인할 수 있는 문자메시지(SMS) 서비스를 비롯해 전화나 인터넷, 지점 방문 등을 통해 간편하게 비밀번호 변경이 가능해져야 한다. 정부는 2차 피해가 없다고 단정하고 있다. 또 금전적 피해가 발생하면 전액 보상하겠다는 입장을 분명히 하고 있다. 그러나 카드사들이 2차 피해에 대해 소극적인 자세를 보일 경우 불안감이 가시지 않고 금융산업에 대한 전반적인 불신으로 이어질 수 있다.

▲이 지사장=개인정보보호법이 있지만 지연되고 있는 개인정보암호화 시스템 구축과 이미 구축된 보안 시스템의 운영과 관리 상태에 대한 전반적인 점검이 필요하다. 주민번호로 대표되는 기존 텍스트 데이터(정형 데이터) 외에 계약서 등의 이미지데이터, 폐쇄회로TV(CCTV)·화상회의 등 영상데이터, 음성녹취, 오디오데이터 등 비정형 데이터에 대한 규정과 보호법 제정이 필요하다. 비정형 데이터가 유출되면 막대한 경제적 손실로 이어진다. 비정형 데이터까지도 지원해 줄 수 있는 포괄적인 암호화솔루션 도입이 필요한 시점이다.

▲이 선임연구위원=보이스피싱(전화를 이용한 금융사기), 스미싱(스마트폰을 통한 소액결제 사기) 등 전자금융사기 예방방법을 적극 홍보하고, 범죄 행위자들을 적극 적발해 처벌함으로써 범죄의지를 없애야 한다.

―정부 대책에 대한 평가는.

▲정 소장=막연한 불안 등 정신적 스트레스에 대한 배상여부가 불투명한 시점에 금융회사에 무거운 과징금을 부과하겠다는 것은 체감할 수 있는 대책이 아니다. 구체적인 정보 유출과 남용에 대한 책임자 문책이나 제도적 보완이 현실화돼야 한다. 고객에게 개인정보 삭제권 등을 부여해 개인정보 통제권을 확대할 필요가 있다. 사전 동의 없는 대출모집인의 전화통화도 금지토록 해야 한다.(금융 당국은 대부업체나 캐피털 회사들이 문자메시지와 e메일, 텔레마케팅 등을 통해 고객을 모집하는 행위를 오는 3월 말까지 일시 중단시킬 방침이다) 또한 금융기관이 개인정보를 누출한 경우 개인에게 지급할 손해배상금을 특정하는 등의 법개정도 고려해야 한다.

▲이 지사장=정부의 주요 대책은 과도한 개인정보 요구관행 전면개선, 카드해지 후 개인정보 삭제, 불법유출정보의 마케팅 대출모집 활용 차단, 정보유출 금융사에 대한 징벌적 과징금 제도 도입, 유출관련 당사자에 대한 형사처벌 강화 등이 포함되어 있다. 그러나 이 모든 내용은 최근 10여년간 지속적으로 제기돼 왔던 이슈들이다. 문제는 정책에 제대로 반영되지 않고 있다는 것이다. 우리나라가 정보기술(IT) 강국이지만 개인 사생활 보호나 정보유출에 대한 인식이 부족하다. 개인정보보호 범위 확장 등 법안 개정이 필요하다.

▲이 선임연구위원=정부의 사고 안정화 방안과 향후 재발방지 방안은 카드사들과 협의한 대책들이다. 중요한 것은 사고안정화 방안이 실효성이 있도록 적극 추진하고 추진성과를 감독해야 한다. 이번 정부의 재발방지 방안은 시간적 한계로 근본적인 대책으로는 한계가 있다. 따라서 추가적인 대책을 고민하되 시간에 쫓겨 단기적인 대책을 만들기보다 장기적인 안목에서 근본대책을 마련할 필요가 있다.

▲이 교수=정부의 강력한 처벌 원칙과 관련 임원에 대한 책임 추궁 원칙은 환영할 만하다. 하지만 개인정보 공유를 제한하는 정책은 유감스러운 정책이다. 지난 2004년 신용카드 대란에서 배운 것이 신용정보 공유의 필요성이라면 이번 정보유출 대란에서 배울 것은 신용정보 보호의 중요성이다. 신용정보에 대한 건전한 유통시장의 발전은 선진화된 금융시장으로 가는 선행적인 과정이다. 미래의 금융시장은 담보나 보증인을 통한 거래가 아닌 '과거의 금융거래를 기반으로 하는 신용'을 중심으로 이뤄질 것이다.

―국내 금융사의 내부통제 시스템은.

▲이 교수=우리나라는 내부통제 시스템만 갖춰져 있을 뿐 실속이 없다는 것이 드러났다. 예를 들어 카드 사기거래의 유형을 파악하기 위해 금융회사가 외부 직원에게 필요하지도 않은 개인 주민번호와 결제계좌 등의 정보에 접근했다는 것은 내부통제 시스템에 문제가 있다는 의미다. 내부통제 체계를 새로 구축하고 기능을 대폭 강화해야 한다. 영업실적이 부진하면 단순히 이익이 줄지만 내부통제가 약화되면 기업이 망할 수 있다는 심각성을 인식해야 한다.

▲이 지사장=최근의 보안 위협은 외부뿐만 아니라 내부에도 존재한다. 또 고도화, 지능화되고 있다. 이에 발맞춰 지속적인 보안 강화가 필요하다. 금융사들이 소비자 보호에 대해 무거운 의무감을 갖고 정보보호를 위한 보안 솔루션을 검토하고 적용해야 한다. 특히 솔루션 구축 이후에도 전문가에 의한 운영과 관리, 감시가 이뤄져야 한다. 암호화 시스템을 구축하고 정밀한 접근 정책이 필요하다. 접근 정책은 암호화된 데이터에 대한 접근을 제어하는 것이다. 오직 검증된 사용자와 프로세스를 통해 데이터를 조회하고, 시스템 관리자 계정 등 권한을 부여 받은 사용자는 보호된 데이터에 접근하지 않고도 업무를 수행할 수 있어야 한다.

▲정 소장=선진국 금융 시스템의 경우 정보 유출에 대한 확고한 재산권과 인격권에 대한 인식이 확립되어 있다. 엄정한 책임제를 실시하고 있다. 영국의 경우 시중은행 관리 체계는 금융청(FCA)의 엄격한 감독을 통해 단계마다 책임자가 있어 정보 유출 사고 때 책임 규정이 명확하다. 국내 IT 보안은 세계적 수준이지만 내부통제 시스템이 제대로 운영되지 않고 있다.

▲이 선임연구위원=IT를 기반으로 한 전자금융은 사용자의 편의성과 금융기관의 효율성을 크게 향상시켰다. 하지만 보안성 약화라는 문제점을 수반하고 있다. 선진국의 경우 효율성보다는 보안성을 중시하고 있다.

―정보보호를 위한 금융사와 개인의 역할은.

▲이 지사장=금융사는 정보보호를 위해 외부에서 비롯되는 위협에도 대응해야 하지만 내부직원의 유출을 막기 위한 해결책도 찾아야 한다. 내부에서든 외부에서든 공격자들이 노리는 것은 데이터다. 데이터를 보호하기 위한 '데이터 중심 보안'을 수립해야 한다. 데이터 암호화와 키관리, 접근제어, 권한 및 역할 관리, 지속적인 감시가 이뤄져야 한다. 암호화 솔루션을 도입하는 기업이 늘고 있지만 암호화 키관리는 미흡한 상황이다. 암호화된 데이터와 이를 해독할 수 있는 열쇠인 암호키를 동일한 장비에서 관리하는 것은 금고 앞에 비밀번호를 적어 놓는 것과 같다. 접근제어도 중요하다. 오직 검증된 사용자와 프로세스를 통해 데이터를 조회할 수 있어야 한다. 또 전담 관리자가 지속적으로 데이터에 대한 접근을 모니터링해야 한다.

▲정 소장=금융사는 최소 정보만 수집해야 한다. 또 주기적으로 개인정보의 활용현황을 보고할 필요가 있다. 개인정보에 대한 제3자 제공은 제한해야 한다. 특히 제3자에 대한 개인정보 제공 시 제3의 불법행위에 대해 연대책임을 물어야 한다. 이와 함께 의무적인 정보보호 관련 교육을 의무화해야 한다. 금융사는 정보유출 단계마다 책임자를 정하고, 유출에 대한 명확한 책임 규정도 만들어야 한다. 개인은 개인정보의 활용과 동의를 구하는 기업이 의심스러울 경우 가능한 한 거래하지 않는 등 주의의무를 다해야 한다. 개인정보 수집과 활용에 동의한 경우 개인정보가 어떻게 활용되고 있는지 주기적으로 점검해야 하고 개인정보에 대해 삭제를 요청하는 등의 적극적인 자세가 필요하다.

▲이 선임연구위원=금융사는 고객이 다양한 정보를 효과적으로 이용하지 못할 경우 경쟁력에서 뒤떨어질 수 있다. 하지만 부주의하게 정보를 수집 이용할 경우 회사에 엄청난 경제적 손해와 신용도 하락을 초래할 수 있다. 효율성과 보안성이 충돌할 경우 보안성을 우선적으로 고려하는 자세가 중요하다. 보안시스템 구축이라는 하드웨어 측면보다는 보안의식 일상화라는 소프트웨어 측면의 개혁이 필요하다. 정보화사회에서 편의성 등의 혜택을 누리기 위해선 일정 정도의 정보제공이 불가피하다. 개인도 편의성과 보안성 사이에서 어떤 것을 우선으로 고려해야 할지 고민해야 한다.

▲이 교수=금융회사는 내부통제가 실질적인 역할을 할 수 있도록 강화해야 한다. 또 이에 대한 책임이 궁극적으로 최고경영자(CEO)에게 있다는 사실을 명심해야 한다. 개인은 신용정보 불법유통을 통한 마케팅활동에 적극적으로 대응해 감독당국과 함께 불법유통을 근절하는 데 앞장서야 한다. 지난 2004년 신용카드 대란을 겪었고, 정확히 10년 후인 2014년 제2의 신용대란을 겪고 있다.
일련의 사건은 우리나라가 선진 금융시장으로 발전하는 긴 여정에서 나타난 하나의 과정이라고 생각한다. 단순하게 책임자들의 문제가 아니라 시스템의 문제로 이번 사태를 바라보고 처리하는 것이 현명하다. 처벌의 이슈보다는 원인을 파악해 재발을 막을 수 있는 대책을 찾아야 할 때다.

정리=sdpark@fnnews.com 박승덕 박세인 기자