본문 바로가기
AhnLab 칼럼/CEO 칼럼

[CEO Column] 개인정보 보호, 기업 생존과 직결된다

by 보안세상 2020. 4. 24.

2012.09.05

 

최근 1~2년 사이에 금융권, 포털 업계, 게임 업계의 대표적 기업에서 대형 개인정보 유출 사고가 잇달아 발생했다. 최근 5년간 주요 기업에서 유출된 개인 정보가 약 1억 2000만 명분에 이른다고 한다. 주요 포털과 금융 사이트에서도 동일한 아이디와 패스워드를 사용하는 경우, 2차•3차 피해로 이어질 수 있다.

 

<사진출처 - 구글이미지>

 

각종 보안 사고 및 사이버 범죄에 대한 언론 보도를 통해 과거에 비해 개인정보 보호의 중요성에 대한 인식이 크게 높아진 것은 사실이다. 정부도 개인정보보호법 시행 등 보안 강화를 위해 적극 나서고 있다.

 

그러나 이러한 노력에도 불구하고, 유사한 사건이 연이어 터지다 보니 우리 사회가 개인정보 유출에 조금은 무뎌지고 있는 듯하다. 유출된 정보가 직접적인 피해로 나타나기까지 일정 시간이 걸리기 때문에 개인정보 유출의 심각성과 위험성을 올바로 인식하지 못하고 있는 것은 아닐까.

 

 

더이상 개인의 것이 아니게 된 개인정보

날이 갈수록 개인정보 유출에 따른 보안 사고는 대형화, 지능화돼 개인의 일상 생활마저 위협하는 수준에 이르고 있다. 기업이나 기관으로부터 유출된 개인정보는 국내 대부 업체에 넘겨지거나 중국, 동남아 등지로 팔려나가 범죄에 이용되기도 한다. 지난해 보이스피싱 같은 전화 금융 사기의 피해액이 1000억 원을 넘었다. 금융 범죄를 목적으로 하는 공격이 나날이 조직화, 글로벌화하는 추세인 것이다.

 

기업 역시 개인정보 유출 피해에 따른 대규모 소송이 잇따르며 생존까지 위협받고 있다. 피해자 보상에 따른 금전적 손실을 입는 것은 기본이고, 고객 정보를 소홀히 다루는 기업이라는 오명을 쓰면 고객의 신뢰가 떨어지고 결국 고객이 떠나가 조직 전체의 존폐 위기를 맞게 되는 것이다.

 

개인정보 유출로 인한 피해 증가와 기업 책임에 대한 부담, 그리고 개인정보보호법의 시행으로 인해 최근 들어 어느 때보다 개인정보보호에 대한 기업들의 관심이 늘고 있음을 실감한다. 하지만 여전히 개인정보보호법의 적용 범위가 어디까지인지, 개인정보보호법을 준수하기 위해 어떤 방안을 마련해야 하고 어떻게 조치해야 하는지 정확히 아는 기관이나 기업이 많지 않아 보인다.

 

개인정보 유출을 방지하려면 조직 구성원 각자의 철저한 보안 의식과 실천이 필수적이다. 지능적 범죄를 IT 보안 담당자의 노력만으로 해결할 수는 없기 때문이다. 그러나 기술 관련 부서가 아니고서야 이해하기조차 힘든 기술을 모든 직원이 스스로 적용해 관리한다는 것도 현실적으로 쉬운 일이 아니다. 따라서 가이드라인을 만들어 교육하고 누구나 일상에서 실천할 수 있도록 전사 차원의 노력이 필요하다. 아울러 법에서 제시하는 전문 관리 시스템 운용도 병행해야 한다.

 

이처럼 개인정보 보호 시스템을 강화하기 위해서는 개인정보보호법의 필수 항목인 기술적, 관리적 조치가 모두 필요하다. 즉, 정보 암호화, 패치 관리, 악성코드 대응의 기술적 조치, 개인정보 노출 점검, 개인정보 자가진단 등의 관리적 조치를 취함으로써 개인정보보호법을 준수할 수 있다.

 

 

기업은 개인정보를 어떻게 관리해야 할까

관리의 기초 단계는 안티바이러스 프로그램 설치이다. 최근 금전적 이익을 목적으로 개인정보를 탈취하는 악성코드가 빠르게 증가하고 있다. 악성코드의 공격 형태 또한 공유 폴더, 보안 패치 미적용, 윈도우 계정 암호, USB 자동 실행 등의 취약점을 이용한 복합적 형태로 진화하고 있다. 악성코드로 인한 기업 내 피해를 최소화하기 위해서는 개별 PC에 보안 제품 설치뿐 아니라 기업 내 PC 보안 관리가 절실하다.

 

빠르게 변화하는 보안 위협에 능동적으로 대처하기 위해서는 효율적인 패치 관리도 중요하다. 기업에서 사용하는 운영체계(OS)나 애플리케이션의 취약점이 누적되면 그만큼 위협에 노출되는 범위와 수준도 높아지기 마련이다. 그러나 대부분의 기업이 사내 모든 운영체계와 애플리케이션의 패치 현황을 파악하고 관리하는 데 어려움을 겪고 있다. 이는 전문 패치 관리 솔루션을 통한 관리로 해결할 수 있다.

 

마지막으로 개인정보의 수집부터 보관, 파기까지 ‘개인정보 라이프사이클(Lifecycle)’에 따른 적절한 관리 및 조치가 있어야 한다. 기업이 보유한 개인정보가 무엇인지 파악하고 분석해 불필요한 파일은 삭제하고 필요한 정보는 암호화해야 한다. 또한 부서별, 직원별 개인정보 관리 현황을 중앙에서 집계하고 통제할 수 있는 관리 솔루션이 필요하다.

 

개인정보 유출은 개인에게 피해를 줌은 물론, 기업의 생존에도 위협이 될 수 있는 만큼 다각도의 대비가 필요한 시점이다. <Ahn>

 

* 이 칼럼은 2012.07.01 일자 CIO매거진 [BizIT]에 실린 칼럼입니다