2020-01-20 12:05 (월)
형식적 정보보호 안전진단 제도는 가라!
상태바
형식적 정보보호 안전진단 제도는 가라!
  • 길민권
  • 승인 2011.09.22 19:33
이 기사를 공유합니다

해킹당한 SK컴즈 5년간 안전진단 이상무 판정 의문
안전진단 폐지하고 정보보호 관리체계(ISMS)인증제도로 일원화해야
[국감 2011] 최근 SK컴즈 해킹으로 고객 개인정보 3500만건이 유출되는 등 해마다 해킹·바이러스 등 인터넷상 침해 위협이 증가하고 그로 인한 개인정보 유출 피해 규모가 대형화되고 있다.
 
<주요 개인정보 침해사고>
- 2006년 2월: 리니지 명의도용 - 120만명
- 2008년 1월: 옥션 해킹 유출  - 1080만명
- 2010년 3월: 해킹 개인정보 판매자 검거 - 2000만명
- 2010년 4월: 현대캐피탈 해킹 유출 - 175만명
- 2011년 7월: SK컴즈 해킹 유출 - 3500만명
- 2011년 8월: 삼성카드 고객정보 유출- 80만명
- 2011년 9월: 하나SK카드 고객정보 유출 - 5만명
 
이번 SK컴즈 해킹 유출 이후 방통위는 개인정보보호 강화 대책을 발표했다.  
 
<개인정보보호 강화대책 주요내용>
 ① 주민번호 수집 금지, 개인정보 활용내역 이용자 통지제도 도입 등 사업자에 의한 과도한 개인정보 수집?이용 제한 추진 (망법 개정)
 ② 개인정보DB의 관리자PC를 외부망과 분리, 암호화 대상 개인정보 확대 등 사업자의 개인정보 보호조치 기준 강화 (고시 개정)
 ※ 암호화 대상 : 패스워드/주민번호/계좌번호 등 5개에서 전화번호/주소 등으로 확대
 ③ 개인정보보호 관리체계(PIMS) 인증 확대, 웹사이트 악성코드 점검?제거, 영세기업 보안SW 무료보급 등 기업의 보호역량 강화
 ④ 패스워드 변경 등 대국민 캠페인, 스팸차단 서비스 및 정보보호 알리미 서비스 확대 등 2차 피해(피싱, 스팸, 명의도용 등) 방지활동 강화
 ⑤ 중국발 해킹범인 검거, 노출 주민번호 삭제 등 한-중 공조 강화
 
한나라당 조진형 의원은 “지난해 16,295건에 달하는 해킹피해가 발생했고 올해도 7월말 현재 6,854건의 해킹피해가 발생한 것으로 나타나고 있다”며 “특히 올해는 지난 4월 현대캐피털 175만명, 7월에는 SK컴즈 3500만명, 8월에는 한국웹손 35만명의 고객 개인정보가 유출되는 등 거의 한달에 한번 꼴로 대규모 개인정보 해킹 사건이 발생하고 있는 실정”이라고 지적했다.  
 
방송통신위원회에서는 개인정보 보호수준 제고, 정보보호 대응능력 강화, 해킹·바이러스 대응체계 고도화 등에 2010년 439억원, 금년에 261억원의 예산을 편성하고 있다.
 
조 의원은 “연간 수백억원에 달하는 금액을 정보보호 강화 등에 사용하고 있음에도 오히려 대규모 개인정보 유출이 늘어났다는 것은 문제가 있는 것 아닌가”라며 방통위원장을 질타했다.
 
또한 지난해 정보보호실태조사 결과를 보면 국내기업 중 63.5%가 자사 시스템에 대한 보안투자가 전무하고 개인정보 처리자의 통제·관리도 미흡한 것으로 드러났다.
 
조 의원은 “그러나 방통위에서는 이번 SK컴즈 사건이 발생하고 나서야 기업의 과도한 개인정보 수집을 제한하겠다, 기술적보호조치 의무기준을 강화하고 이용자의 자기정보 통제를 강화하겠다는 등 사후약방문식 대책을 내놓고 있다”며 “그동안 방통위에서는 도대체 무엇을 한 것인가”라고 추궁했다.
 
SK컴즈 개인정보 유출, 삼성카드· 하나SK카드 고객정보 유출 사건 등에서 나타나듯이 기업의 개인정보보호에 관한 의식과 관리 시스템은 매우 미흡한 실정이다.  
 
그러나 정보통신망법 제46조3에 따라 주요정보통신서비스제공자, 직접정보통신시설사업자 등에 대해서 안전진단을 의무화하고 있지만, 평가항목이 37개에 불과하는 등  최소한의 보호조치 수행여부를 평가하는 수준으로 제도가 운영되고 있어 실질적인 정보보호에 도움이 되지 않는다는 지적이 많다.
 
실제로 인터넷진흥원이 지난해 실시한 안전진단 제도의 개선 필요성에 대한 설문조사 결과 응답자의 83%가 개선이 필요하다고 답했고 대규모 정보유출이 발생한 SK컴즈의 경우에도 지난 2006년부터 안전진단을 받아왔지만 이상이 없다는 평가를 받았다. 
 
이에 조 의원은 “현재 방통위에서 자율적으로 운영하고 있는 정보보호 관리체계 인증제도(ISMS)의 경우 정보보호 평가항목이 137항목에 달하는 등 정보보호 수준이 정보보호 안전진단제도 보다 높은 것으로 나타나고 있는데, 정보통신망법 개정을 통해 정보보호 안전진단 제도를 정보보호 관리체계 인증제도(ISMS)로 일원화할 필요가 있다”고 지적했다.  
 
마지막으로 조 의원은 “현재 추진하고 있는 정보보호 및 해킹·바이러스 대응사업의 효과 등에 대해 다시한번 면밀히 검토해 실질적이고 적극적인 정보보호 강화 방안이 강구되어야 한다”고 촉구했다. [데일리시큐=길민권 기자]