X

대기업도 뚫리는 보안사고..초기 조사권이 혼란 부추긴다

김현아 기자I 2017.08.27 15:35:43

대규모 사고외에도 퇴사직원 범죄, 이메일 발송사고 등 빈번
초동 대응이 중요..KISA 실질조사권 확보위해 법개정 추진
웹호스팅 보안 의무 강화 검토..가상화폐 보안규정 적용 논의도 진행 중

[이데일리 김현아 기자] 지난 3년간 국내에서 발생한 개인정보유출사고 10건 중 6건은 외부공격(해킹, 59%)에 의한 것으로 조사됐지만, 내부직원 고의 유출(7.8%)이나 관리자 부주의(6.8%), 시스템오류(5.9%) 등도 상당했다.

특히 대기업들도 자유롭지 않았다. 무지에서 비롯된 실수이든, 어쩔 수 없는 사고이든 개인정보 유출 사고가 빈번했던 것이다.

이에 따라 한국인터넷진흥원(KISA)은 사고 발생 시 더 적극적인 초동 대응을 위해 직접 조사를 나갈 수 있게 정보통신망법 개정에 나설 방침이다. 기업에서 개인정보 유출 사고가 발생했을 때 KISA가 신고·상담을 받지만 사고에 대한 조사권한은 불명확해 이를 바로잡자는 취지다.

▲국내외 주요 개인정보유출사고현황(출처:KISA)
◇해킹·내부직원·관리자 부주의..안전지대는 없다

27일 KISA에 따르면 법상 의무화된 시스템 보호조치를 제대로 안 갖춘 경우만 봐도▲홈페이지 인터넷주소(URL)에 노출되는 인덱스 값(고유번호) 변경 시 인증단계를 거치지 않는 취약점을 이용해 타인의 개인정보를 탈취한 경우(2012, 2014년 KT, 2016년 아시아나항공)▲메일 주소를 변조해 내부 직원에게 악송코드가 포함된 이메일을 보내 PC를 감염시킨 후 개인정보를 탈취한 경우(2011년 SK컴즈, 2014년 한국수력원자력, 2016년 인터파크) 등이 있었다.

또 ▲홈페이지 로그인 입력 양식에 SQL 구문을 삽입해 권리자 권한을 획득한 뒤 DB서버의 데이터를 위·변조하고 개인정보를 탈취한 경우(2015년 뽐뿌, 2017년 여기어때)도 있었는데, 모두 정보통신망법 28조 위반으로 최대 3000만 원 이하의 과태료를 받는다.

뿐만 아니라 ▲CJ헬로비전 직원이 퇴사 시 서버 데이터를 가져가 마케팅에 활용하거나 ▲LG유플러스 직원이 흥신소에서 받은 주민번호와 이름을 고객정보관리시스템에 입력해 해당 가입자의 개인정보를 불법으로 조회한 경우 ▲네이버에서 변호사를 모집하면서 개인정보(이름, 이메일 등)가 포함된 파일을 첨부해 이메일을 오발송한 경우▲최근 KT가 사무공간 내 CCTV를 설치해 노조 측이 신고한 경우 등도 있었다.

김주영 KISA 개인정보대응센터장은 “국내에서 웹페이지를 운영하는 기업은 약 390만 개로 추정되고, 웹페이지를 운영하지 않는 오프라인 사업체 중 200만 개 정도는 개인정보를 처리하는 것으로 본다”며 “개인정보는 최소 수집하고 목적 달성 이후 파기하며 주기적으로 보안 시스템을 확인하는 노력이 필요하다”고 말했다.

그는 “KT CCTV사건의 경우 행안부와 함께 개인정보보호법 제25조(영상정보처리기기 설치·운영제한)위반 사안인지 조사하고 있다”고 부연했다.

▲2016년 전세계 주요 개인정보 유출건수
(출처: Gemalto)
◇초기 대응이 중요…개인정보보호법과 다른 정보통신망법 도마위

KISA는 현재 국내 기업에서 개인정보 유출 사고가 발생했을 때 조사를 나가기도 하고 그렇지 않을 때도 있다.

개인정보보호법에선 조사를 할 수 있는 법적 근거가 있지만, 정보통신망법에선 근거가 없어 심각한 위해 발생 시에만 ‘민관합동조사단’ 차원에서 사고 조사 업무를 하고있는 것이다.

하지만 최근 해킹 등의 사고가 대형 사고뿐 아니라 일상화되고 있어 정보통신망법에도 KISA의 조사 근거를 마련해야 한다는 지적이다. 실제로 이 때문에 KISA는 최근 LG전자 서비스센터 서버가 랜섬웨어에 감염됐을 때 발 빠른 대응을 하기 어려웠다.

이동근 KISA 침해사고분석단 단장은 “개인정보 유출과 관련해 우리가 초동조사할 수 있는 부분을 정보통신망법에 담아달라고 요구하고 있다”며 “민관합동조사단이 꾸려지면 현재도 참여 가능하나 이는 큰 사고에 포커싱된 한계가 있다”고 말했다. 민관합동조사단은 과학기술정보통신부와 방송통신위원회, 경찰, 인터넷진흥원으로 구성된다.

한편 KISA는 숙박앱 여기어때의 해킹사고를 계기로 온·오프라인연결(020)회사들에 대해 기획점검을 진행했으며, 최근 발생한 웹호스팅 업체 인터넷나야나의 해킹 사고를 계기로 과학기술정보통신부와 함께 적절한 수준의 법률적 의무를 웹호스팅 기업에 부과하는 방안을 검토 중이다.

지난달 발생한 국내 최대의 비트코인 거래소 빗썸의 개인정보유출사고와 관련해서도 금융감독원 등과 함께 가상화폐를 화폐로 볼지, 어떤 보안 규정을 적용할지 논의하고 있다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지