이동형의 뉴스 정면승부
  • 방송시간 : [월~금] 17:10~19:00
  • 진행: 이동형 / PD: 김우성 / 작가: 홍기희, 김은진

인터뷰전문보기

“금융회사 보안대책 일반회사보다 미약”-한국정보보호학회 오희국 학회장
작성자 : ytnradio
날짜 : 2014-01-22 20:18  | 조회 : 1924 
정면 인터뷰2.
“금융회사 보안대책 일반회사보다 미약”
“이번 대책, 지난 대책들과 비교해 액수만 늘어났을 뿐, 큰 틀은 변하지 않았다”
-오희국 학회장(한국정보보호학회)

앵커:
KB국민, 농협, 롯데, 이들 3사 카드 가입자 분들은 아마도 지난주부터 오늘까지 내가 피해자가 되지는 않았을지, 혹시 더 큰 피해가 생기지는 않을지 걱정이 많으실 텐데요. 특히 금융위에서 지금까지 이렇다 할 만한 대책을 내놓지 않아서 불안감이 컸지 않았습니까? 그래서 그런지 금융위원회에서 오늘 개인정보 유출 사건과 관련해서 종합대책을 발표했습니다. 2차 피해를 막는 것에 힘을 쓰고, 그리고 꼭 필요한 정보만 수집하고 보관하도록 철저하게 관리하고 특히 과태료 수준과 형벌 수준 최고 수준으로 상향 조정하겠다는 내용의 대책들을 내 놓았는데요. 이런 대책들이 과연 실효성 있는지 여부에 대해서 한국정보보호학회장이신 오희국 학회장과 함께 얘기를 나눠보도록 하겠습니다. 오 회장님, 안녕하세요?

한국정보보호학회 오희국 학회장(이하 오희국):
예. 안녕하세요?

앵커:
먼저 금융위원회 종합 대책에 대한 이야기를 나누기 앞서서요. 현재 금융사들이 고객들의 개인정보를 도대체 어떻게 보관하면서 관리하다가 이렇게 되었습니까?

오희국:
아마 전체적인 데이터를 보관하고 관리하는 그런 시스템들은요. 기술이 최근에 나온 건 아니고, 오래 전에 검증이 되어서 그런 시스템 자체의 문제는 없었던 겁니다. 그러나 이번에 유출된 그런 직접적인 동기는요. 결국 어떤 관리나 또는 접근하는 데 필요한 여러 가지 기술적인 문제라기보다는, 관리 감독 자체가 좀 소홀했다, 이렇게 보여집니다. 외부의 업체 직원이 들어와서 그 시스템을 유지, 보수를 하게 되는데 그 유지, 보수하는 과정에서 누군가가 내용을 잘 알고, 말하자면 정보보호 전문가가 이 흐름을 잘 아는 그런 전문가들이 거기서 그런 절차를 보고 제대로 준수하고 있는지, 보안 절차를 잘 밟고 있는지를 감독하고 관리해야 되는데 그런 게 소홀한 게 아니었나, 생각이 듭니다.

앵커:
결국엔 인재라는 것이죠, 그러니까?

오희국:
그렇죠. 그래서 오늘 발표도 보면 인재 사고로 인정을 하고 앞으로 보안 규정을 준수하겠다, 그 다음에 최고 수준의 제재를 하겠다, 철저하게 문책하겠다, 이렇게 한 것도 다 그런 이유인 것 같습니다.

앵커:
그런데요. 많은 분들이 이들 문제의 3개 사의 카드를 사용하지 않았는데도 왜 본인의 정보가 유출되었다, 이런 사고가 나오는지 굉장히 궁금해합니다. 왜 그렇습니까?

오희국:
카드는 사용하지 않더라도 금융사들이 계열사들끼리 정보를 공유합니다. 같은 계열사들끼리, 그러면 제가 신용카드는 아니더라도 무슨 신용카드 말고 다른 카드들이 있지 않습니까? 회원카드라든가, 이런 거요. 그런 카드들에 대한 정보를 같이 공유하는 바람에 그 정보가 나간 거죠.

앵커:
정보 공유 때문에 그렇다, 덧붙여서요. 오래 전에 카드 해지를 했던 고객들의 개인정보들도 유출되었었는데, 그러면은 오래 전에 해지한 것들도 이렇게 공유하면서 유출됩니까?

오희국:
가지고 있어서 그렇습니다. 시간이 지나면 지워야 되는데 지우질 않고 그냥 가지고 있어서, 그런 마케팅 쪽에서 필요한 모양인 것 같습니다. 그래서 같이 유출된 것 같습니다. 이번 조치로는 5년까지는, 5년 지나면 폐기하겠다, 이렇게 얘기한 것 같습니다.

앵커:
앞으로 5년이면 충분할까요?

오희국:
모르겠습니다.

앵커:
이번 유출 사고에 대해서 결국 인재다, 라고 지적을 해 주셨고 또 금융 당국도 인재임을 인정했다고 말씀해 주셨는데, 카드사 임직원, 또 정보보호와 관련된 교육 시스템이 지금까지는 어땠는지, 또 앞으로는 어떻게 해야 되는지 궁금합니다.

오희국:
임직원에 대한 교육 같은 것들은 지속적으로 그런 프로그램들이 있습니다. 그래서 보면 작년 7월에도 그런 여러 가지 조치가 나왔었고요. 그리고 유선 상으로, 무선 상으로, 또 무료로 그런 서비스를 받을 수가 있습니다. 그러니까 교육이나 이런 것들은 충분히 우리가 받을 수가 있는 상황이고요. 다만 카드사에서 그런 것들을 제대로 준수했는지는 잘 모르겠습니다.

앵커:
그래서 그런가요? 금융위원회가 발표한 오늘 대책 가운데 보면 금융회사들을 상대로 개인정보 보호에 대해서 제대로 하고 있는지 주기적으로 보안 점검, 또 관리 실태를 조사하겠다, 뒤늦게 또 이렇게 얘기를 했는데 지금까지 안 했다는 뜻이겠네요? 참 어처구니가 없어요. 보안 서비스, 그러면 참 이 문제, 외국 같으면 어떨까요?

오희국:
우리나라하고 외국은 조금 다른 것 같은데요. 제가 외국의 사례 잘 모르지만, 미국 같은 경우에는 우리나라보다는 훨씬 더 제재나 과징금이 큽니다. 예를 들면 오늘 징벌적 과징금을 부과하겠다, 50억까지, 많은 사람들이 생각하기에 그 정도 액수는 크지 않다, 개별 금융사 자산이 260조, 이렇게 달하는데 이 가운데 50억이라는 것은 사업에 영향을 미칠 정도가 아니다, 이런 지적이 많습니다. 그리고 미국 같은 경우에는 최소한 100만 달러 이상 2억 달러까지 가능하고요. 더 중요한 것은 무한책임입니다. 우리나라는 무한책임은 아니죠.

앵커:
매출액의 1%에 대해서도 징벌적 과징금, 이런 대책도 했었는데 앞으로 실질적인 피해가 2차 피해가 없다, 없을 것이다, 라고 당국이 이야기는 했어요.

오희국:
그러니까 아마 유출은 되었지만 유통되지 않았다, 하는 것에 근거해서 그렇게 말을 하는 것 같습니다. 그런데 실제로 유통이 되었는지 안 되었는지는 아직 우리가 알 수는 없는 것 같고요. 시간이 좀 더 지나봐야 알 것 같고요. 물론 그 내용을 보면 비밀번호나 CVC는 유출되지 않았다, 그런 게 유출이 안 되었기 때문에 카드의 결제는 물론 피해는 없겠지만, 그러나 그 말고도 다른 정보가 유출이 되었다면, 예를 들면 주민등록번호라든가 아니면 다른 여러 가지 기타 개인정보들이 있지 않습니까? 그런 정보들이 금전거래 뿐 만 아니라 또 우리가 신분 확인할 때 많이 쓰지 않습니까? 그래서 그런 신분 확인이나 이런 거, 어떤 사람이 나의 흉내를 낼 수 있는 그런 범죄는 있을 수가 있는 거죠.

앵커:
앞서 개인정보 관련해서 비밀번호, 인증코드는 유출되지 않았다, 라고 당국이 설명했다고 하는데, 유출되지 않아도 범죄로 사용할 수 있지 않겠습니까? 지금까지 누출된 19가지 정보만으로도요.

오희국:
그렇죠. 그런 걸로도 아까 말씀 드리지만 카드나 그런 금전적이고 직접적인 피해는 없을지도 모르지만, 말씀드린 대로 인증에 사용할 수가 있는 거고, 어떤 다른 사람이 저인 행세를 할 수 있는 거죠.

앵커:
그러면요. 기술적으로 이런 일을 원천적으로 봉쇄할 수 있는 방법은 어떤 것이 있을까요?

오희국:
기술적으로는 데이터를 암호화할 수 있습니다. 예를 들면 정보들 중에는요. 식별 정보 같은 경우는 바뀌지 않는 번호가 있습니다. 예를 들면 주민등록번호 같은 경우에는 바뀌지가 않지 않습니까? 전화번호 같은 경우 노출이 되어서 내가 바꾸고 싶다, 그러면 내가 전화번호 바꾸면 되고요. 주소가 노출되면 이사 가면 되는데 주민등록번호는 아무리 해도 바꿀 수가 없는 그런 식별 가능한 정보들을 그대로 저장해서는 안 되고, 암호화해서 저장해야 하고, 암호화 되어서 저장이 되면 혹시라도 빼가더라도 알아볼 수 없게 할 수 있죠.

앵커:
금융회사들이 이런 보안을 필수적인 요소로써, 회사 관리의 요소로써 사용한 것이 아니라 단순히 비용만으로 본다, 그래서 문제라는 지적이 많은데 실제 비용이 많이 소요됩니까?

오희국:
다 암호화하면요. 그게 비용이 좀 많이 듭니다. 어떤 사람들은 천억 정도 비용이 든다, 이런 얘기도 하고요. 하여튼 비용 면에서는 작은 금액은 아닙니다.

앵커:
들긴 드는군요. 들긴 들어도 전체적인 개인정보 유출과 비교해보면 그 정도는 감당해야 되는 것이 맞겠죠?

오희국:
그렇죠. 저는 그렇게 생각합니다.

앵커:
이번에는 적발이 되어 문제가 되었지만 지금까지 이런 유사한 일이 여러 차례 일어나지 않았습니까? 또 물론 경우는 다르지만, 이번에는 USB를 통해서 유출되었는데 과거에 이런 사례도 없었다, 이렇게 단정하기는 좀 없을 수도 있겠죠?

오희국:
네. 그렇지만 지금처럼 대규모로 쉽게 유출이 된 경우는 없어요. 이거는 1억 건이 넘으니까요. 거의 대부분의, 아마 주변에서 개인정보 확인을 해보시면 주변에서 아마 안 털리신 분이 없을 정도로 일반화된 거죠.

앵커:
오늘 당국이 대책을 발표하지 않았습니까? 앞서 간단히 언급해 주셨는데, 이런 대책이 실효성이 있을지, 또 일부 시민사회에서는 이것도 안 된다, 이런 지적도 하는데요. 교수님 어떻게 생각하세요?

오희국:
많은 사람들이, 전문가들이 기본적인 틀은 변하지 않았다, 이렇게 지적을 합니다. 그러니까 이 대책이 작년에 나왔던 대책, 또 그 전에 나왔던 대책하고 큰 틀은 변하지 않았다는 것이 일반적인 지적입니다. 물론 액수는 좀 증가되고 여러 가지 책임 소재는 분명히 늘어났지만, 획기적인 그런 틀은 아니다, 그러면서 다른 쪽으로 비교하는 경우에 금융회사 말고 일반회사는 이것보다 훨씬 더 강력하다, 라는 지적입니다. 사실은 금융회사면 더 일반회사보다 강력해야하는데 그렇지가 않은 상황이고, 그래서 많은 전문가들은 보기에 큰 틀은 변화가 되지 않아서, 앞으로도 이런 문제가 또 발생하지 않을 거라는 보장을 할 수 없다, 이런 의견들을 가지고 있습니다. 저도 개인적으로는 큰 틀은 변하지 않은 게 아니냐, 그래서 언제 또 이런 문제가 발생할지, 이런 사고가 발생할지 모른다, 이렇게 판단이 됩니다.

앵커:
현재 국내 신용평가 시장이 이번 사건과 연루된 것 아니겠습니까? KCB와 NICE 그룹이 크게 양분되어 있다고 볼 수 있지 않겠습니까? 그래서 독과점, 과점 체제가 이번 사건에도 영향을 주지 않았겠느냐, 이런 지적들도 있는데요. 회장님 어떻게 보세요?

오희국:
그런 경우도 없지 않아 있을 것 같습니다. 그런데 이 사건의 본질을 잘 들여다보면요. 하나의 어떤 특정 회사만 그런 게 아니라 많은 회사가 거기 연루되어 있지 않습니까? 이 얘기는 전반적으로, 그러니까 다른 데는 다 잘하는데 특정 회사만 그런 게 아니라 전반적으로 카드사나 금융사들의 정보보호 제고 마인드가 부족한 게 아닌가, 생각이 됩니다. 물론 아까 말씀하신 독과점 문제도 있기는 하지만 그 이전에 기본적으로 갖춰야 될 여러 가지 프로세스, 그런 것을 준수하지 않음으로써 나오는 그런 문제가 아닌가, 생각이 듭니다.

앵커:
오늘 말씀 여기까지 듣겠습니다. 고맙습니다.

오희국:
예, 감사합니다.

앵커:
지금까지 한국정보보호학회 오희국 회장이었습니다.
  목록
  • 이시간 편성정보
  • 편성표보기
폴리텍배너

YTN

앱소개