개인정보 유출 대책, 대외 연계 보안 주목해야

카드사 개인정보 유출 사고로 온 나라가 재난 수준으로 혼란스럽다. 철저한 발본색원은 당연한 일이나, 위험은 지나치게 과장되었고 사회적 공포는 필요 이상으로 과열된 것 아닌가 싶기도 하다. 이에 금융위원회는 지난 22일 기획재정부, 미래창조과학부, 안정행정부, 법무부와 공동으로 ‘금융회사 고객정보 유출 재발방지 대책’을 발표했다. 그 내용을 살펴보자.

과도한 개인정보 요구 관행, 제3자 정보 제공 포괄적 동의, 마케팅 목적 제3자 정보 활용 등 무분별한 개인정보 수집 및 유통 행태에 대한 제한 조치는적절하다. 개인정보 관리의 허술함은 사고 이전에도 늘 시비가 끊이지 않았던 해묵은 문제니, 당장 크게 달라질 사업환경 변화에 따른 비용은 금융권이 감수해야 할 몫이다.

'꼭 필요한 정보' 등 뜻이 모호한 문장들은 이후 각자 입장에 따라 해석의 다툼 여지가 있겠으나, 문제 지적 자체는 옳고 마땅하다.

하지만 이어지는 기술적 내용은 실효성 측면으로 볼 때 아쉬움이 크다. IT 시스템 개발 외주 시 임원진 승인 절차, 외부저장매체 반입 통제, CISO 임명 강제 등의 조치는 이번 사태의 핵심에서 완전히 벗어난 내용이다. 이번 사고는 개인정보 열람 및 취급 방식의 무책임함, 그리고 기관과 연계기관 사이 정보 유통 체계의 허점 때문에 발생한 사건이다.

따라서 차후에라도 재발 방지를 위한 보다 구체적이고 실질적인 기술 지침이 보강되어야 할 것으로 보인다.

지주 회사를 겨냥해 징벌적 과징금, 10년 이하 징역 등 과격한 발언이 나오는 것으로 보아 이번 대책 발표의 가장 큰 목적은 국민정서 달래기인 듯하다. 지주회사 입장에서 본다면 어째 좀 억울할 수도 있겠다. 지금껏 지주회사들은 대체로 금융지주회사법 등 관련 법규 테두리 내에서 적법하게 활동해왔다.

하위 연계기관에 대한 강력한 지배구조는 지주회사의 존재근거이긴 하다. 그러한 지배구조가 함의하는 바,전체 연결망에 대한 총체적 감리 책임을 소홀히 여겼다는 사실은 부정할 수 없겠지만, 어쨌든 지주기관의 손길이 직접 닿지 않는 외부 연계기관에서 벌어진 사건 아닌가.대외 연계와 정보 공유를 허용하는 법의 명분은 연계와 공유를 통해 망 전체의 시너지 효과를 높이겠다는 취지다. 명분 자체는 나쁘지 않다. 아니, 좋다. 그렇다면 당장 사회적 분노에 깜짝 놀라 정보 공유 자체를 부정하려 드는 게 과연 현명한 일일까, 한번쯤은 숙고해 볼 필요가 있다.

요즘 유행인 '빅데이터'니 '데이터 드리븐'이니 하는 데이터 중심 기술 트렌드로부터도 멀어지는 일이니, 세계적 흐름으로부터 벗어나 고립되는 소위 갈라파고스화의 위험마저큰, 시대 역행적 발상 아닐까. 명분은 좋지만 기술적 허점 그리고 나쁜 관행이 문제라면, 허점을 제거하고 관행을 고치는 게 훨씬 더 현명한 선택일 것이다.

연계와 공유에 따른 부작용은 우리나라만의 문제가 아니라 모든 나라에서 동일한 문제가 동일한 양상으로 존재한다. 그렇다면 다른 나라들은 이 문제를 어떻게 해결하고 있을까. 외국 사례를 보자.

민간이 솔선해 보안 수준을 결정한다. 예를 들어 PCI DSS 데이터 보안 규정을 보면, 민간 카드 회사가 중심이 되어 상호 합의하에 거래량, 잠재적리스크, 데이터 노출 정도 등에 따라 차등화한 보안 기준과 규정을 결정하고 준수를 강제한다.

규정에 따르지 않으면 연계와 공유 망에 포함될 수 없다. 따라서 어떤 카드사와 정보를 주고 받으며 거래하려면 PCI 보안 요건을 만족해야 하고, 규정 준수 과정의 효율과 비용 효율을 높여야만 일정 수준 이상의 거래 자격을 취득할 수 있다. 이를 통해 금융기관과 대외연계기관의 네트워크는 외압 없이도 스스로 높은 수준의 보안성을 달성했다.

하지만 민간 합의를 통한 문제 해결에는 긴 시간이 필요하다. 그리고 누가 자발적으로 나서서 업계 전체를 주도할 것인가, 고양이 목에 방울 달기처럼 무모한 이야기처럼 들리기도 한다. 그러니 당장 실천에 옮길 수 있는 보다 현실적 대책을 모색해 보자.

우선 정보는 언제든 유출될 수 있다는 현실을 직시해야 한다. 정보 유출을 완벽하게 막을 수 있는 시스템 같은 건 없다. 제아무리 최선을 다해 막으려 애쓴다 하더라도 모든 정보는 내부에 유출 위험성을 이미 품고 있다고 봐야 한다. 따라서 모든 정보 보호 시스템은 유출 상황을 가정하고 설계되어야 한다.

즉, 유출되더라도 책임 소재가 명쾌해야 하고, 어떠한 경우에도 유출된 정보의 내용이 공개되는 것만큼은 무조건 막아야 한다는 뜻이다.

각 기관은 철저한 데이터 암호화를 통해 개인정보를 보호하고, 암복호화 키 관리를 통해 정보 열람 및 취급 권한을 관리해야 한다. 그래야 정보의 내용 공개를 막을 수 있고, 막지 못할 경우에도 누구의 책임인지 명쾌하게 밝힐 수있다.

너무나 당연해 무슨 이런 이야기를 굳이 하나 싶을 정도로 새삼스럽지만 일선 현장에서는 개인정보를 암호화해 관리하기는 커녕 암호화 하지 않고 엑셀 파일로 저장하는 경우도 허다하다. 암호화해서 관리하더라도 암복호화키 관리는 신경 쓰지 않는 경우도 많다.

암호화된 엑셀 파일을 첨부해서 메일로 전송하면서도 복호화용 패스워드를 함께 보내는 경우도 얼마나 많은가? 암복호화키는 데이터와 별도의 장소에 안전하게 보관하여, 만에 하나 데이터가 유출되는 상황이 벌어져도 내용 공개만큼은 어떻게든 막는다.

단순 암호화만으로는 보안이라 할 수 없다. 키 관리가 보안이다. 대외 연계기관 사이 데이터를 주고 받을 때에도 반드시 암호화된 상태로 주고 받는다. 역시 너무 당연한 이야기처럼 들리지만 현실은 그렇지 않다. 네트워크 구간 암호화 등을 통해 스니핑 등 위협에 대해서도 안정성을 확보한다.

연계기관에서 사용하는 암복호화 키 또한 마찬가지, 망 전체가 서로 연동하여 철저히 관리할 필요가 있다. 이를 위해 지주회사의 총체적 관리 노력이 필요하다. 연계망 전체를 묶는 키 관리 체계에 대한 기술적 가이드라인과 지원도 필요할 것이다. 어느 연계기관 하나의 키 관리 체계가 무너지는 경우에도 지주회사의 키 관리 체계는 무너지지 않도록 보호되는 체계를 설계해야 한다.

보안은 여러 쇠고리가 엮인 쇠사슬과 같고, 그 사슬은 가장 약한 고리만큼 약하다는 격언을 되새겨 보자.

전체 보안을 이루는 모든 요소가 골고루 높은 수준을 달성해야 한다는 뜻이다. 전체는 가장 강한 부분만큼 강한 게 아니라 가장 약한 부분만큼 약한 법, 어느 한 곳이 무너지면 전체가 무너진다. 이 원칙은 지금껏 주로 어떤 기관 내부의 단독 보안 시스템 설계에만 적용되었다.