‘영세 쇼핑몰’도 개인정보 보호 강화해야

협력사 데이터 공유 보안 방안 … 개인정보 유출 통로로 활용

개인정보 유출은 사회적 문제다. 단순히 주민등록번호, 전화번호 등의 개인정보 노출에 그치지 않고 이를 악용한 행위로 2차·3차 피해를 입을 수 있기 때문이다. 불법적인 예금 유출로 금전적 피해, 유출 개인정보를 이용한 여권위조 등의 범죄악용 등이 개인정보 유출로 발생할 수 있는 2차·3차 피해다. 개인정보유출이 사회적 문제가 되면서 대형 쇼핑몰 등의 보안이 크게 강화됐지만 영세 협력업체는 여전히 보안홀로 남아 있다. <편집자>

배환국
소프트캠프 대표이사
webmaster@softcamp.co.kr

모 온라인 경매 사이트의 대규모 개인정보유출 사고가 발생, 전사회적인 충격을 준 지 2년여가 지났다. 하지만 2010년에도 여전히 개인 정보 유출사고는 언론을 통해 빈번하게 보도되며 이슈화되고 있으며, 더 나아가 종전의 사고 규모를 뛰어 넘으면서 ‘사상 초유의 대규모 개인정보 유출사고’라 불릴만한 사고들이 계속 등장하면서 개인정보 유출 사고는 더욱 더 발전하는 양상을 띄고 있다.

무엇보다 개인정보유출 사고들은 점점 대규모화·범죄화·지능화돼 가고 있다. 특히 과거 외부인에 의한 해킹이 유출경로의 대부분을 차지했던 것과 달리 최근에는 내부 전·현직 직원이 금전적 목적에 의해 외부 대부업체·심부름센터·여권위조 브로커 등과 결탁해 개인정보를 유출하는 등 유출주체가 더욱 광범위해지고 있다는 점은 커다란 문제점으로 다가온다.

더불어 DB나 PC뿐 아니라 스마트폰, POS(Point Of Sales) 단말기 등 개인정보를 대량으로 저장·유통이 가능한 매체의 증가도 개인정보 유출의 위험성을 높이는 요소다. 개인정보가 저장, 활용되는 디지털 기기의 증가는 개인정보의 활용 통로가 증가하는 것이기에 유출 위험을 더 높게 만들게 된다. 더 많아진 통로에 대해 보안을 고려해야 하는 어려움을 함께 가져오기 때문이다.

개인정보는 ‘유출’ 자체보다는 그 이후의 ‘2·3차 피해’가 발생할 수 있다는 점에서 문제가 된다. 예를 들어 개인정보 및 금융정보를 악용한 불법 결제, 무단 현금 인출을 시작으로 대포폰·불법 위조여권 등에 사용될 수 있으며, 이외에도 다양한 범죄에 악용될 수 있기 때문이다. 따라서 개인정보유출 사고는 더 이상 가벼이 치부할 수 있는 일이 아닌 사회적인 이슈로 떠오르고 있으며, 철저하게 사전에 방지해야 하는 ‘사고’로 인식되고 있다.

떠오르는 개인정보 유출주체 ‘협력업체’
현재 대부분의 대형 쇼핑몰 및 대기업에서는 보안시스템을 적용함으로써 사내 DB를 암호화하고, 사용자 접근을 제한하는 한편 사용자 PC에 대한 보안 강화를 꾀하는 등 철저하게 보안환경을 유지하고 있다. 연이은 고객정보 유출 사고는 보안 시스템의 도입을 촉진시키는 계기가 돼 내부 전·현직 직원에 의한 정보유출을 방지하는 내부정보유출방지 시스템은 점차 정보보호를 위한 필수 요소로 자리매김하고 있는 상황이다. 그러나 물품 판매, 발송, DM 등을 맡고 있는 외부 협력업체의 경우는 어떠할까? 대형 쇼핑몰과 같이 강도 높은 보안방안이 적용되어 있을까? 조사된 각종 자료를 참조하면 협력업체 단까지는 보안강화가 제대로 이뤄지지 않고 있는 것으로 보인다.

협력업체 직원에 의한 정보 유출 사고가 해마다 증가하고 있는 것으로, 실제로 중소기업청에서 발표한 ‘산업기밀실태조사 보고서’에 따르면, 산업기밀 유출에 관련된 주체의 20.4%는 협력업체 직원으로 나타났다. 현직사원이 차지하는 비중(19.0%)보다 협력업체 직원에 의한 유출사고가 더 많이 나타나고 있는 것이다. 규모가 큰 대형 쇼핑몰일수록 협업을 함께 진행하는 협력업체의 수도 늘어날 수밖에 없으며, 이 과정에서 공유되는 자료 역시 많아질 수밖에 없다. 하지만 아직까지 정보유출방지 방안은 대부분 대규모 사업장에만 적용돼 있는 상황이다.

뿐만 아니라 대부분의 쇼핑몰이 외부 협력업체로 개인정보를 전달하는 경우에는 보안이 풀어진 평문의 형태로 대량의 개인정보를 전달해 공유하고 있으며, 아무런 보안이 적용되지 않았기에 협력업체 직원에 의한 정보 유출이 가능한 것은 물론 제 3자에 의한 유출 역시 가능한 보안 홀로 작용될 수 있다. 또 보안이 적용되지 않은 개인정보 파일은 언제, 어디에서, 누구에 의해, 어떤 방법으로 유출되는지 전혀 파악이 불가능해 정보보호 및 관리가 제대로 이뤄질 수 없으며, 암호화돼 있지 않기 때문에 협력업체 담당자의 실수로 인해 USB, CD 등을 통해 유출이 되는 경우, 제3자에 의한 악용이 가능하다.

대용량 정보 공유를 위해 활용되고 있는 웹디스크의 예를 들어보자. 하나의 ID와 패스워드로 원청업체와 협력업체는 물론 고객사에 이르기까지 불특정 다수의 인원이 사용하는 경우가 허다하다. 이러한 ID/패스워드 공유는 보안적이 측면에서는 취약점을 지닐 수밖에 없다. 해당 웹디스크의 ID와 패스워드를 아는 사람이라면 누구나 쉽게 접속해 대량의 개인정보를 유출해 얼마든지 악용을 할 수 있는 것. 하지만 사용자 접근제어나 파일 암호화, 외부 저장매체에 대한 차단은 이뤄지지 않고 있다.

이메일의 경우도 마찬가지. 첨부파일이 암호화된 상태로 전달되지 않기 때문에 해킹에 의한 유출은 물론 협력업체 직원에 의한 유출이 가능하다고 말할 수 있다. 따라서 개인정보의 전달·공유 과정에 대한 보안대책이 시급하다.

개인정보의 전달·공유 과정에 대한 보안대책이 시급하다고 지적되고, 협력업체에 대한 보안의 문제점이 지속적으로 제기되고 있음에도 불구하고 보안시스템을 협력업체단까지 확대하는 것은 쉽게 진행되지 않고 있다. 원청 업체인 쇼핑몰과 관련된 협력업체의 수가 많고, 대부분이 영세한 업체인 까닭이다. 원청업체인 쇼핑몰과 관련된 수많은 협력업체에 일일이 보안시스템을 적용할 것을 강요할 수 없을 뿐 아니라 대부분이 영세한 업체인 협력사에게 적지않은 도입비용을 부담시키기에는 어려움이 존재하는 것이다.

이에 협력업체에 대한 보안 적용을 미루고 있는 쇼핑몰 또는 대기업이 많지만, 이는 법률적 문제를 초래할 수 있다. ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’에 따르면 협력업체가 개인정보를 유출한 경우에도 원청 업체인 쇼핑몰이 1차적인 책임 소재를 갖게 된다. 다시 말해 협력업체 직원에 의해 개인정보가 유출되거나 판매되는 경우에도 이에 따른 경제적, 비경제적 피해는 모두 쇼핑몰이 받게 되며 기업 이미지와 경쟁력에 마이너스 요인으로 작용하게 되는 것이다.

더불어 지난 2008년 하반기에 발의됐던 개인정보보호법이 만 2년 만에 국회 행정안전위원회 전체 회의를 통과했다는 점도 중요하게 고려돼야 한다. 개인정보보호의 법 적용 대상은 ‘업무상 개인정보를 관리, 처리하는 모든 기관, 기업, 및 사업자’로 확대돼 업체의 규모에 상관없이 보안시스템은 반드시 도입해야 할 필수 요소가 된다. 그동안 개인정보를 대량으로 보유하고 있으나 관리 및 보호가 제대로 이뤄지지 않던 SMB 시장을 필두로 개인정보보호법의 테두리 내에서 ‘기술적, 시스템적인 보안 강화’가 이뤄질 것으로 전망되며, 이로써 개인정보 보호와 관련된 보안 솔루션과 서비스의 확산 속도가 더욱 빨라질 것으로 전망된다.

협력업체에 전달되는 개인정보 보호방안, 보안 웹디스크
협력업체의 부담을 주지 않으면서 쇼핑몰의 피해를 가져올 수 있는 보안 사고를 미연에 방지할 수 있는 방법은 소규모 협력업체에 고비용이 소요되는 전사적인 보안시스템의 도입을 강제하기보다 개인정보가 안전하게 전달될 수 있는 보안 통로를 마련해주는 것이다. 예를 들어 보안이 강화된 보안 웹디스크나 파일서버 등을 활용하는 것이 안전하고 원활한 정보 공유를 위한 대안이 될 수 있는 것이다.

기존에 ‘정보 공유의 통로’로 활발하게 사용되고 있던 웹디스크에 보안을 적용한 보안웹디스크를 ‘개인정보 보호통로’로 활용함으로써 효율적인 개인정보보호 및 협업 환경을 구현할 수 있다. 보안 웹디스크를 통해 쇼핑몰은 개인정보의 유출이 가장 빈번하게 나타나고, 보안 위협 역시 가장 많이 존재하는 유통 및 활용 단계에 대한 강력한 보안방안을 적용함으로써 개인정보의 유출을 방지하고, 협력업체의 보안의식을 확립하는 방안을 마련할 수 있는 것이다.

보안이 적용된 웹디스크를 활용했을 때의 장점은 우선, 사용자 접근제어, 암호화, 사용 기간 및 세부 권한 제어, 외부 저장매체 사용 제어, 로그 제공 및 모니터링 등의 보안 기능을 통해 개인정보를 안전하게 공유할 수 있는 보안 환경을 구현할 수 있다는 점이다.

기존 비보안 웹디스크를 통해 개인정보를 공유하는 경우에는 ID와 패스워드까지 공유하는 경우가 많아 누가 언제 어떻게 정보에 접근했고 어떤 방법을 통해 정보를 유출했는지 개인정보를 업로드한 원청업체에서는 확인할 방법이 없다. 나아가 이러한 이유로 사후 감사 역시 불가능했다. 다시 말해 정보의 사용이나 반출에 대한 제어 방안이 없어 대량의 정보가 한꺼번에 유출될 위험이 높다는 치명적인 한계를 갖고 있는 것이다. 또 비암호화된 파일은 협력업체 담당자의 고의 또는 실수, 해킹에 의한 유출 등 여러 가지 위험에 노출되며, 유출된 개인정보는 원청업체인 쇼핑몰에서 파악하기도 전에 일파만파로 유출돼 악용될 수 있는 위험의 소지가 있다.

하지만 보안이 적용된 웹디스크를 활용하면 권한이 있는 사용자만이, 허가되는 범위 내에서 개인정보를 사용할 수 있도록 제어하고, 철저하게 개인정보를 암호화함으로써 유출을 방지할 수 있다. 먼저 각 사용자 고유의 ID와 패스워드를 설정해 사용자 인증 키 값으로 사용함으로써 비인가자의 접속을 막을 수 있다. 더불어 같은 협력업체 직원이라 할지라도 부서별/개인별로 접근이 가능한 폴더 권한에 차등을 둠으로써 개인정보에 접근 가능한 사용자 범위를 명확하게 함으로써 모니터링 및 사후감사에 활용할 수 있다.

또한 웹디스크 내의 개인정보를 일괄 암호화함으로써 협력업체 직원 및 내부 직원에 의한 유출을 미연에 방지하고, 담당자의 실수 또는 노트북·외부저장매체 분실 등을 통해 유출된 경우에도 보안환경은 지속되게 함으로써 제 3자에 의한 개인정보 악용을 예방할 수 있다. 세부적으로는 개인정보의 사용기간이나 인쇄 가능여부, USB 등의 외부저장매체 사용 등을 제한함으로써 비인가자에 의한 유출은 물론 인가자에 의한 유출까지도 차단할 수 있으며, 로그를 통해 개인정보의 현황 및 사용이력에 대한 모니터링이 가능하게 된다.

둘째, 기존에 익숙했던 웹디스크를 통한 정보 공유 환경을 그대로 유지하면서 보안을 적용할 수 있기 때문에 업무 효율성을 극대화할 수 있다. 웹디스크는 기업에서는 물론 개인적으로도 널리 사용되고 있는 정보 공유 방법이다. 때문에 새로운 보안 시스템의 도입으로 인한 교육 및 교육으로 인한 업무 지연을 최소화할 수 있으며, 기존 방법 그대로 쇼핑몰과 협력업체가 개인정보를 공유·활용이 가능해 기존의 업무 생산성을 유지할 수 있다.

정보보안의 핵심은 시스템이 아닌 사람이다. 정보를 보호하는 주체도, 정보를 유출하는 주체도 모두 사람이기 때문에 인적 보안과 시스템 보안이 함께 이뤄졌을 때 완벽한 보안환경을 구현할 수 있을 것이다. 이러한 보안환경은 원청업체인 쇼핑몰 내에서만 철저하게 이뤄져서 해결될 문제가 아니라 원청업체와 정보를 교류하는 협력업체까지 통합적으로 이루어졌을 때, 더 나아가 사용자가 직접 보안의식을 확립하고, 자신의 개인정보 보호에 앞장섰을 때 더욱 활발하게 현실화될 것이다.

마지막으로 쇼핑몰은 보안 웹디스크의 적용을 통해 고객이 안심하고 이용할 수 있는 온라인 환경을 구현할 수 있다. 개인정보 유출 사고는 해당 사이트에 대한 신뢰도 저하, 신규 고객 수 감소로 이어져 기업의 경쟁력에 마이너스 요인으로 작용할 수 있다. 이는 역으로 고객이 안심하고 이용할 수 있는 온라인 환경 구축은 곧 기업의 이미지 제고 및 경쟁력 강화로 이어짐을 의미한다. 활용 가능한 보안시스템의 적극적인 도입을 통해 대형 쇼핑몰에서 영세 협력업체에 이르기까지 폭넓은 통합 보안 환경을 구현하고, 이를 통해 고객이 신뢰하고 이용할 수 있는 온라인 환경을 제공할 수 있길 기대한다.

데이터넷 다른기사 보기