연초부터 금융권이 대규모 정보유출 사고로 홍역을 치루고 있다. 엄청난 규모의 정보유출에 당황하고 분노한 시민들은 온라인 카페 등에서 변호사들이 모집하고 있는 집단소송에 대거 참여하는가 하면 혹시 모를 2차 피해를 막아 보고자 카드교체를 위해 은행에서 줄을 서고 있는 상황이다. 금융당국은 이런 저런 대책을 내놔보지만 이제 약발은 떨어지고 도무지 어떤 정책을 내놔야 국민들도 납득하고 또 이런 보안사고가 재발되지 않을까 곤혹스러워하고 있다.
 
구태언 테크앤로 법률사무소 대표변호사(사진)는 이번 사건에 대해 어떤 생각을 가지고 있을까. 오랜 기간 정보보호 전문 법조인으로 현장 경험이 풍부한 구태언 변호사는 이번 금융권 정보유출 사고를 어떻게 보고 있으며 대책은 무엇인지, 법 규제에는 문제가 없는지 그리고 사고로 인한 CEO 해임이 과연 어떤 결과를 가져올지 등에 대해 그의 의견을 들어봤다. 다음은 구 변호사와 일문일답이다.

◇신용카드 3사 개인정보 유출사고의 시대적 의미는?
전통적 개인정보 유출사고인 정보통신망을 통한 해커 공격에 의한 침해사고 보다는, 최근 들어 주로 내부자에 의한 개인정보 유출이 많아지고 있다. 이번 신용카드 3사의 고객정보 유출사고도 검찰의 발표에 의하면 외주개발사의 책임자급 직원에 의해 유출되었다고 한다. 또 최근 두 은행의 직원에 의한 고객대출정보 유출은 내부 직원에 의한 고객정보 유출사고다.
 
방화벽, DRM, 암호화 등 비권한자에 의한 외부 침입으로 인한 유출을 방지하기 위한 보안법규제로는 신뢰받는 관계에 있는 접근권한자에 의한 내부 유출을 막기 어렵다는 것이 문제다. 내부자에 의한 횡령사고는 정보를 다룰 권한이 있는 사람이 ‘나쁜 마음을 먹고’ 정보를 오남용하는 것에 해당하기 때문에 이를 막는다는 것은 현실적으로 매우 곤란하며 이는 외부 침입자에 의한 ‘절도형 사고’와 달리 ‘횡령형 사고’에 해당한다. 기업 경리가 회사 공금을 마음만 먹으면 횡령할 수 있듯 횡령형 정보침해는 정보보안조치로 그 발생을 막는다는 것은 매우 곤란하다. 이러한 속성의 차이에 따라서 보안정책 설계를 달리 해야 한다.
 
◇이러한 고객정보 유출 사고 막을 방법 없나?
현재 금융감독당국 등 정부가 이러한 유출사고 때마다 강화해 온 금융보안 강화 대책처럼 정보유출사고를 당한 금융회사와 그 임직원을 강하게 징계하는 것으로 정보유출을 방지하겠다는 단순한 발상이 틀렸다는 점을 인식해야 한다. 국가가 형법에 의해 범죄를 강력히 처벌하고 10만 경찰관이 범죄예방을 위해 전국토를 지키고 있지만 범죄자들은 여전히 범죄를 저지른다. 정보유출사고를 일으키는 범죄자들 역시 법규로 강하게 처벌한다고 범죄를 포기하지 않는다. 정보유출은 명백히 실정법상 범죄이므로 범죄를 막을 책임이 금융회사에게만 있는 것도 아니다. 정부의 입장과 같이 정보유출이 발생할 경우 금융회사의 CEO를 강하게 문책한다면 수십년에 걸쳐 양성되는 금융회사 경영전문가인 CEO들을 범죄자들 때문에 잃게 되어 우리나라 금융경쟁력이 약화될 것은 분명하다.
 
◇우리나라 금융보안 법규제는 충분한가?
선진국의 경우 내부직원의 부주의나 고의 등 인적요소에 의한 정보유출 비율은 해킹에 의한 유출보다 낮다. 이에 비해 우리나라는 최근 정보유출 사고의 원인이 해킹보다는 내부에 집중되어 있다. 정보보호 법규제의 수준은 절대로 선진국보다 낮지 않다. 그럼에도 유출사고가 빈발하는 것은 국민들의 도덕적 수준과 관련이 있다. 정보유출은 우리나라 법령에 의해 범죄로 엄하게 처벌하고 있음에도 계속 발생하고 있다. 결국 법으로는 내부자에 의한 유출을 완벽하게 막을 수 없다는 결론에 다다른다. 또 내부 유출은 내부통제를 아무리 강화해도 완벽하게 막을 수 없다. 정보를 손으로 직접 다루는 내부자는 마음만 먹으면 어떻게든 유출할 수 있기 때문이다.
 
물론 그렇다고 정보유출을 방지할 책무를 포기하란 뜻은 아니다. 사고만 터지면 문책을 강화하겠다고 외치는 정부의 입장이 원인을 예방하는데 크게 도움이 되지 않을 것이고, 정보유출은 계속될 것이기 때문이다. 정보유출을 한 기술적 경로를 밝혀 이를 막기 위한 규정 강화에만 관심을 쏟을 것이 아니라, 범죄자가 어떠한 동기로 그와 같은 유출을 했는지, 평소 그와 같은 범죄의 징후를 막을 방법은 없는지, 실제 관리자에 의한 현장 관리감독을 어떻게 다변화할 것인지 등 다양한 보안대책을 연구해야 한다. 근원적으로 초중고 교육에 전혀 도입되어 있지 않은 정보보안 교육을 도입하고, 지식정보시대에 걸맞는 정보도덕율을 잘 준수하는 문화를 만들어 내는 것이 정부가 해야 할 핵심과제이다.
 
◇기업 CEO를 해임하는 것이 정보유출 방지에 효과가 있을까?
단언컨대, 정보유출사고는 반드시 재발한다. 재발방지 대책이란 것이 범죄를 막을 수 있는 것은 아니다. 앞에서도 말했지만, 형법이 있고 경찰이 있어도 범죄는 발생한다. 정부가 범죄를 어느 정도 줄일 수는 있어도 재발을 방지할 수는 없다. 이런 속성을 직시하고 금융회사가 정보보안에 관심을 가지고 상당한 투자를 하고, 정보보안을 담당하는 임직원을 기업내 의사결정에 참여시켰는지와 같은 노력을 평가해 이를 잘 지킨 기업은 정보유출사고가 발생했더라도 크게 벌하지 않아야 한다. 그렇게 하지 않고 정보유출을 당한 기업을 강하게 벌하기 시작하면 기업들은 정보유출사고를 더 숨기게 될 가능성이 높다. 어느 쪽이 실질적으로 고객정보를 더 보호하게 될 것인지 잘 생각해 보면 결론은 분명하다.
 
◇CEO가 정보보호 시대에 가져야 할 자세에 대한 조언은?
정보보호가 전혀 중요하지 않던 시절에 살아온 기성세대들은 체질적으로 정보보호를 중시하지 않는다. 현재 CEO들은 농업이 위주인 5~60년대에 태어난 세대들로서 IT와 정보보호에 대해서는 문외한임을 자각해야 한다. 정보보호는 CEO의 자리를 위협할만큼 벌써 기업의 큰 위험이 되어 있음에도 어떠한 경영학 과정도 CEO의 자질로서 정보보호를 제대로 가르치지 않는다. 이러한 현존하는 중대한 위험을 제대로 관리하지 못하는 CEO들은 기업을 제대로 운영하지 못할 시대적 상황에 서 있다. CEO들은 자신들이 영업과 이익에 대해 관심을 갖는 것 만큼 정보보호에 관심과 투자를 아끼지 않아야 한다는 교훈을 얻기를 바란다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com