기업 자진신고 의무제 및 고객정보 암호화 서둘러야
해외 개인정보 유통 지하시장 국제공조로 단속해야

(서울=연합뉴스) 이광빈 기자 = 신세계백화점(신세계몰) 등에서 사상 최대의 고객 개인정보 유출 사태가 또다시 발생함에 따라 기업의 '커밍아웃'을 제도화하고 개인정보 암호화 등을 의무화하도록 제도를 서둘러 개선해야 한다는 지적이 강력히 제기되고 있다.

기업이 피해 사실을 스스로 공개해 고객이 대응할 수 있는 기회를 주지 않으면, 정보 도용을 통한 보이스 피싱 등의 추가적인 범죄 피해가 발생할 수 있기 때문이다.

12일 경찰에 따르면 신세계백화점, 아이러브스쿨 등 총 25개 기업에서 유출된 2천만건의 개인정보는 암호화가 되지 않았다. 경찰은 중복 인원을 제외하더라도 1천500만명 이상의 개인정보가 무장해제된 채 유출된 것으로 추정하고 있다.


만약 암호화가 이뤄졌다면 해킹을 통해 유출됐더라도 실질적으로 암호를 풀고 정보를 이용하는 것은 불가능하다는 게 보안전문가들의 분석이다.

개인정보의 분실 및 도난, 유출 방지를 위해 암호화를 의무화하도록 한 개인정보보호법 제정안이 일찌감치 국회에서 통과돼 시행됐다면, 이 같은 피해를 최소화할 수 있었다는 아쉬움이 남는 대목이다.

정부가 2008년 11월 국회에 제출한 제정안은 1년 반가량 잠자고 있다. 정부의 제정안 외에도 한나라당 이혜훈 의원과, 민주당 변재일 의원이 비슷한 시기에 제출한 안도 국회에서 먼지가 쌓여 있다.

더구나 정부 제정안에는 기업이 개인정보 유출 사실을 인지할 경우 해당 개인들에게 유출 항목과 경위, 피해구제절차 등을 통지하는 것을 의무화했기 때문에 기업들의 자진신고를 유도할 수 있다.

기업이 유출 사실을 알고도 고의로 신고하지 않을 경우 강도 높게 처벌하는 반면 자진신고할 경우 정상을 참작해준다면 신고 문화가 정착될 수 있는 토대가 마련될 수 있는 것이다.

2008년 1천80만명의 개인정보를 해킹당한 옥션이 최근 이에 대한 손해배상 청구소송에서 승소한 이유에는 자진신고를 통해 고객들이 대처할 수 있도록 조처한 점이 참작됐다는 게 업계의 분석이다.

한 보안 관련학회 관계자는 "업체가 해킹을 당해 개인정보가 유출됐을 경우, 이를 인지한 뒤 자진신고를 하지 않으면, 사법당국이 이를 인지하기 전까지는 고객들이 비밀번호 등을 변경하지 못해 2차 피해가 커질 수밖에 없다"고 말했다.

기업 스스로 해킹 등의 흔적을 찾지 못해 자진신고할 수 없었더라도 경찰로부터 유출 사실을 통보받은 뒤 고객에게 즉각 이를 알릴 수도 있었던 셈이다.

경찰은 지난 7일 이전 해당 기업에 유출 사실을 통보했지만, 각 기업은 9일 이후 행정안전부로부터 고객에 대한 공지 조치를 취할 것을 요구받은 뒤에야 홈페이지에 공지 등을 띄우는 등의 조치에 들어갔다.

게다가 아직 일부 기업들은 최종 확인 작업을 끝내지 않아 개인정보를 유출당한 고객들에게 통보도 못한 상황이다.

이에 보안전문가들은 아이디와 비밀번호, 주민번호, 이메일, 전화번호, 주소 등 광범위한 개인정보가 유출된 만큼, 고객들이 가능한 한 빨리 비밀번호뿐만 아니라 아이디까지 바꿀 수 있도록 경각심을 심어줘야 한다고 주장하고 있다.

이와 함께 이번 사태를 교훈으로 기업 역시 보안수준을 강화해야 한다는 목소리가 높아가고 있다. 서버 보안 및 보안 인력에 적극 투자해야 한다는 것이다. 자금력이 약한 중소기업의 경우에도 한국인터넷진흥원 등이 무료로 제공하는 보안기술을 적극 도입한다면 피해를 상당히 예방할 수 있다.

이밖에 중국동포 커뮤니티 사이트 등을 중심으로 한국인들의 개인정보 판매와 해킹 청탁이 이뤄지는 지하시장에 대해 단속을 벌여야 한다는 지적도 나오고 있다.

이번 사건도 용의자들이 중국 해커를 통해 개인정보를 구매한 뒤 국내에 재판매하는 과정에서 들통났다.

한 보안전문가는 "국제적인 공조 체제를 통해 해외로 흘러간 개인정보가 유통되는 경우를 차단하는 적극적인 노력이 필요하다"고 말했다.

lkbin@yna.co.kr

<저작권자(c)연합뉴스. 무단전재-재배포금지.> 2010/03/12 15:18 송고