오피니언
칼럼

[기고] 기업의 주민번호 수집이 문제다

입력 : 2011.12.01 11:29

염흥열 한국정보보호학회장(순천향대 교수)
염흥열 한국정보보호학회장(순천향대 교수)
지난 4월 현대캐피탈의 175만명 개인정보 유출 사건이 발생했고 7월에는 SK커뮤니케이션즈의 3500만명 회원이 개인정보가 유출되는 사고가 일어났다. 이달 18일에는 온라인 게임업체인 넥슨의 1320만 회원의 개인정보가 유출되는 등 해킹사건이 연이어 발생하고 있다. 올해 유출된 사용자들의 수를 합하면 4995만명에 이른다. 비록 주민번호 등 주요 개인정보가 암호화되어 있다고 하지만 경제활동을 하는 인구 대부분의 개인정보가 해커들의 손에 넘어갔다고 해도 과언이 아니다.

그렇다면 이러한 개인정보 탈취 목적의 해킹 사건이 왜 하필 우리나라에서 계속 발생하는걸까? 질문의 해답은 두가지 측면에서 찾을 수 있다. 하나는 온라인 사업자들이 주민번호를 포함한 개인정보를 사용자로부터 수집하고 보관한다는 점이다. 다시 말해, 해커들 입장에서는 한국 온라인 사업자에서 탈취한 개인정보를 가지고 돈벌이를 할 수 있다. 또 하나는 지능형 지속공격(APT) 등의 해킹기술 발전이 주된 원인이다. 지능형 지속공격은 공격 대상을 정하고 장기간동안 피공격자의 권한과 역할을 관찰한다. 해킹에 이용되는 악성코드를 탐지하기 어렵도록 지능적인 공격 기법을 이용한다. 맞춤형 공격을 감행하고 있어 아무리 완벽한 보안체계를 운용하는 기업이라도 이러한 공격을 100% 막는 것은 사실상 불가능하다.

해커가 탈취한 주민번호 등의 개인정보는 어떻게 사용될 수 있을까? 해커가 사용자의 전화번호를 이용, 보이스피싱 공격을 감행할 수 있다. 또한, 훔친 주민번호와 이름을 이용하면 해커는 인터넷 실명확인 서비스를 통해 타인 명의의 온라인 계정을 쉽게 만들 수 있다. 온라인게임 사이트의 경우, 훔친 개인정보를 이용해 타인 명의의 사이트 계정을 만들 수 있어 게임아이템 등으로 돈벌이에 악용될 수 있다.

따라서 대규모 개인정보 유출사건의 가장 근본적인 이유는 주민번호 같은 개인정보를 기업들이 필요 이상으로 수집하고 보관하고 있기 때문이라고 볼 수 있다.

이에 대한 대책은 개인정보를 다루는 기업의 보안 수준 향상에 있으며, 이를 위해서는 인력 추가 확보와 보안에 대한 인식 향상, 투자 강화 등의 조치를 취해야 한다.

아울러 온라인 사업자들이 주민번호 등 개인정보를 수집하지 못하게 해야 한다. 또한, 개인정보를 수집해 보관하더라도 기술적·관리적 보호 조치가 뒷따라야 한다. 지능형 지속공격 등 최근의 보안을 위협하는 환경을 고려하면 현실적으로 이는 쉽지 않다.

현재로썬 실현 가능한 대책이 온라인 사업자가 사용자로부터 주민번호를 수집하지 않고 아이핀이라는 주민번호대체 수단을 이용하는 것이다. 아이핀은 신용평가기관 등 본인확인기관에서 주민번호를 대체해 발행하는 일종의 번호다.

아이핀에는 주민번호에 들어가는 생년월일, 출생지, 성별 등의 개인정보를 포함하고 있지 않다. 따라서 아이핀이 유출되더라도 사용자의 사생활 침해로 바로 이어지지는 않는다. 또 유출이 됐다 하더라고 발행한 아이핀 번호를 취소할 수 있다.

또 다른 대책은 개인정보 유출 사건을 조기에 탐지, 유출을 차단하는 상시감시체계를 마련하는 것이다. 미국 등은 이미 정부망의 보안을 위해 상시감시체계를 구축하는 노력을 하고 있다. 24시간 동안 지속적으로 작동하는 상시감시체계를 구축·운영함으로써 기업의 보안수준을 크게 향상시킬 수 있다. 여기에 기업이 개인정보 생성, 이용, 제3자 제공, 폐기로 이어지는 개인정보 전주기 관리 시 보다 안전한 관리를 지원하는 개인정보관리체계(PIMS)를 운영하는 노력도 필요하다.

해킹사건의 원인이 되고 있는 악성코드의 확산을 조기에 탐지, 피해를 사전에 예방하는 것도 중요하다. 이러한 체계가 잘 구축되기 위해서는 현재 국회에 계류 중인 악성코드 확산 방지법의 조속한 입법화가 필요하다.

지능화된 해킹기법의 발전으로 향후에도 대규모 개인정보 유출 사건이 계속 일어날 가능성이 매우 크다. 보안은 기업의 비즈니스 연속성을 확보하기 위해 주요 리스크를 줄여주는 대책이다.

결론적으로 연이은 개인정보 유출을 막기 위한 기업의 기술적·관리적 보안 태세 강화와 사용자 인식제고, 정부의 법제도 개선이 절실히 요구되는 상황이다.
  • Copyrights © ChosunBiz.com
  • 기사보내기
  • facebook
  • twitter
  • google
  • e-mail