결정사 듀오서 43만명 민간정보 유출
정부 가이드 미준수하며 취약 상태 방치
사후 과징금도 기업 규모 따라
'정보 밀도' 따라 정부 적극 개입 필요
정부 가이드 미준수하며 취약 상태 방치
사후 과징금도 기업 규모 따라
'정보 밀도' 따라 정부 적극 개입 필요
|
개인정보보호위원회(개인정보위) 등에 따르면 지난해 1월 국내 대표 결혼중개업체인 듀오가 보유하고 있던 정회원 42만7464명의 개인정보가 외부 해커에게 유출됐다. 유출이 확인된 개인정보에는 이름, 주민번호뿐 아니라 결혼중개업 특성상 입력했던 신체 특징, 직장명, 계좌 잔고, 부동산 보유 내역 등 최소 24가지가 포함됐다. 이 외에도 개별 회원에게서 선택적으로 수집한 정보도 있다. 업체는 "현재까지 추가 피해는 없다"고 공지했으나, 개인 '인생 정보' 유출이 어떤 n차 피해를 가져올지 여전히 불확실하다.
듀오는 이러한 정보를 보유하고 있음에도 보안 체계를 취약한 상태로 방치한 것으로 나타났다. 우선 직원 계정 접속 시 인증 실패 횟수 제한을 두지 않았고, 해커는 이를 활용해 업무용 PC에 악성코드를 감염시켜 회원 데이터베이스(DB) 서버 계정을 확보했다. 또 개인정보위 가이드라인에 따른 '안전한 암호 알고리즘'도 사용하지 않았다. 게다가 법적 보관기간인 5년이 넘은 정보도 파기하지 않아, 이미 탈퇴한 회원 정보도 함께 유출됐다. 이번 사태가 대규모 개인정보 관리를 민간 기업의 '양심'에 맡긴 결과라는 분석이 나오는 이유다.
그간 해킹 사태에 취약한 것으로 알려진 통신·금융업계의 경우 정부 차원에서 관리가 강화됐지만, 그 사이 해커는 이번 사태와 같은 특수 업계로 눈을 돌릴 수 있다는 우려가 나온다. 현재 정부가 사후 조치로 대응하고 있는 과징금 역시 기업 매출액 규모를 기준으로 산정된다. 듀오에는 유출 정보 1건당 3000원 꼴의 12억원 수준의 과징금만 부과됐다. 추가 피해 위험이 가장 큰 정보임에도 기업 규모와 절대적인 유출 건수에만 의존한 조치인 셈이다. 기업별로 사전에 보안 체계를 정비·관리하는 금액과 사후 과징금 사이에서 '저울질'하는 상황을 배제할 수 없다. 또한 기업이 직접 침해 사실을 신고한 이후에만 정부 조사가 가능하기 때문에, 정부 관리망에 벗어난 기업일수록 신고를 미루고 서버만 갈아엎는 등 자체 조치를 하는 부작용도 있다.
정부는 지난해 10월 민간 기업 해킹 사고에 대한 직권조사를 가능하게 하고, 국정원의 해킹 방어 능력을 기업에 적극 활용하겠다는 내용의 '범부처 정보보호 종합대책'을 내놨다. 이어 범부처 대책을 구체화한 국가사이버안보전략을 마련할 계획이다. 해킹 정황만으로 정부 차원에서 조치가 가능하기 때문에 조기 차단의 핵심이 될 것으로 보인다. 다만 민간 정보 사찰 등 문제로 실제 정부가 개입할 수 있는 기업에 대한 기준은 미지수다. 이에 개별 기업이 취급하는 '정보의 질'에 초점을 맞춘 적극적 개입이 필요하다는 목소리가 나온다. 국내 한 정보보안 전문가는 "일부 기업들에게 과태료 처분 등 사후 책임만 지우고 정부는 손놓고 있는 상황을 돌아봐야 한다"고 지적했다.
