앞으로 보안담당자들은 구속될 각오로 일해야 할 것 같습니다.
경찰이 KT 개인정보유출 사건 수사 차원에서 KT 보안 팀장 이모씨를 피의자 신분으로 소환하자 보안 전문가 커뮤니티가 술렁거리는 모습이다. 관련 보도가 나간 후 보안 사고의 책임을 기업이 아니라 해당 담당자에게 지우는 것은 바람직하지 않다는 지적들이 쏟아졌다.
18일 인천경찰청 광역수사대는 KT 고객센터 홈페이지를 취약점을 악용한 1천200만건 개인정보유출사고에 대해 KT 보안팀장 이모씨를 피의자 신분으로 소환을 통보했다고 밝혔다. KT의 사용자 인증방식이 다른 이동통신회사들과 다르다는 점에서 보호조치가 일부 미흡한 것으로 확인됐다는 것이 소환의 이유였다.
지난 10일 이 회사 보안팀장은 2시간에 걸쳐 참고인 신분으로 조사를 받은 바 있다. 참고인은 말 그대로 사건에 대한 참고사항을 묻기 위해 소환하는 것이고, 피의자 자격으로 조사를 받는다는 것은 사건에 대한 직접적인 책임을 묻는 것이다. 보안팀장 입장에서는 마치 법정에 증인 자격으로 출석했다가 범죄당사자로 지목된 것이나 다름없다.
결론적으로 이모씨는 불출석했다. 경찰 관계자는 정보통신망법 28조에 개인정보를 다루는 기업이 기술적, 관리적 조치를 다했는지 여부에 대해 판단하기 위한 것이라며 개인에 대한 처벌 보다는 사건을 구체적으로 파악하기 위한 조치였다고 설명했다. 이 관계자는 법 자체도 딱 떨어지는 것이 아니고, 상당히 포괄적이고 추상적이라 수사에 어려운 점이 있다고 덧붙였다.
KT 보안팀장이 해킹이나 내부자 유출에 직접 관여했거나 보안시스템 구축운영과정에서 비리를 저질러 시스템을 취약하게 만들었다면 명백한 형사처벌 대상이다.
그러나 이번 사건의 경우 KT 고객센터 홈페이지에 대한 보안성 강화는 기업 차원에서 문제가 없었는지를 면밀히 살펴봐야 하는 사안이지 담당자를 범죄자로 치부하고 수사를 진행해서는 근본적인 책임소재를 묻기 힘들다는 지적이 많다.
그동안 해당 회사 내부 홈페이지 인증방식이 허술하게 관리돼 온 것은 사실이나 담당자만의 문제인지, KT 자체적으로 보안에 대한 인력, 예산, 부서 간 협조가 제대로 이뤄졌는지를 종합적으로 파악해야 한다는 것이다.
과거 기업 보안담당자로 근무하기도 했던 빛스캔 전상훈 이사는 1차로 보안담당 실무자에게 책임을 묻기 이전에 기업 내에 실무자가 일할 수 있는 환경이 갖춰져있는지를 먼저 봐야한다고 말했다. KT와 같은 이동통신회사들이 운영하는 웹서비스들의 경우 최근 1천200만명의 개인정보가 유출된 고객센터가 기본적인 보안조치를 취할 수 있을만 한 여건이 마련돼 있었는지를 면밀히 조사하는게 담당자 문책이나 처벌보다 우선순위에 둬야 한다는 지적이다.
최근 해당 팀장에 대한 조사 소식에 보안업계는 사고가 터질 때마다 보안책임자들이 문책을 당해서는 누가 그자리에 앉겠냐고 꼬집었다.
업계 한 관계자는 보안 커뮤니티에 올린 글을 통해 보안팀장이 되려면 위험 분석 능력, 경영자들을 설득할 커뮤니케이션, 프레젠테이션 능력 등을 두루 두루 갖춰야 하겠습니다라며 보안담당 실무자들에게만 책임을 묻는 구조를 비판했다.
업계의 또 다른 한 관계자는 쿠키 방식 인증이 보안에 취약한 것은 사실이나 그거 안 바꿨다고 (만에하나) 입건되는 건 좀 억울할 수도 있겠다는 의견을 밝히기도 했다. 다른 관계자는 실무자에게만 책임을 묻고 기업은 돈만 내면 되니 누가 보안을 할까라는 반응을 보였다.
사고가 발생했을 때 보안담당자에게만 책임을 묻는 구조는 수년째 국내 기업들이 사용하던 방식 중 하나다.
보안담당자에게 적절한 권한과 지위를 주고 다른 부서들에서도 충분히 협조했는데도 불구하고 사고가 발생했다면 담당자의 책임이 크지만 그렇지 않은 경우가 많은 것이 현실이다.
관련기사
- KT 보안팀장 피의자 조사…정보보호 소홀 혐의2014.03.18
- "개인정보, 주민번호 안 버리면 재앙 반복"2014.03.18
- 외부 유출 안됐다던 카드 개인정보, 이미 불법 유통2014.03.18
- 벌거벗은 '개인정보 공개 공화국'2014.03.18
금융보안연구원 성재모 본부장은 예전 농협 해킹 사고 등에서도 보안담당책임자가 감봉 당하는 등의 징계를 받은 것은 사실이나 무조건 사고가 나면 담당자들에 대한 징계를 해야한다는 식의 대응은 우려되는 부분이라고 말했다.
앞서 2006년 발생한 엔씨소프트의 온라인 게임 리니지에 대한 명의 도용 사건은 해킹과 직접적인 관련성이 없는 사안인데도 불구하고 보안담당 부서장이 불구속돼 조사를 받았다. 당시 변호사를 선임해 기술적인 검증이 어렵다는 이유로 담당 부서장은 무혐의 처분됐다.
