[취재수첩] 1억건의 개인정보유출…결국 사람이 문제다

실시간
뉴스

기본분류

[취재수첩] 1억건의 개인정보유출…결국 사람이 문제다

디지털데일리 발행일 2014-01-24 09:05:25

이민형

URL복사

[디지털데일리 이민형기자] 이번에 발생한 카드사 개인정보유출사고는 보안솔루션의 문제가 아닌 사람의 문제였다.

일각에서는 DB암호화 등 보안 솔루션 도입을 하지 않았기 때문에 사고가 발생했다고 주장하지만, 사기방지시스템(FDS) 프로젝트를 진행하는 과정에서 DB암호화는 아무런 의미가 없다.

이는 사용자들의 거래내역 등을 분석해서 룰의 형태로 만드는 것이기 때문에 프로젝트 진행과정에서 모든 데이터는 평문으로 보일 수 밖에 없다. 혹여 데이터가 암호화 돼 있어도 개인정보를 유출한 직원이 복호화 키를 가지고 있는데 이를 어떻게 솔루션으로 방어하겠는가.

최근 이야기가 나오는 인력관리 솔루션, 접근통제 솔루션, 외부매체차단 솔루션 등을 도입했더라도 내부 보안정책이 허술하고 지켜지지 않는다면 또 같은 일은 반복될 수밖에 없다.

혹자는 내부자로인한 정보유출을 방지하기 위해서는 보안솔루션을 도입에 앞서 본사직원이 맨투맨으로 외주인력을 감시하는 것이 더 낫다는 농담을 던지곤 한다.

금융회사의 보안정책은 매우 강력하다. 전산실에 출입할 때는 출입일지를 작성하고, 관리자의 동행하에 들어가야하며, DB에 접근할 수 있는 권한과 비밀번호는 확실히 관리돼야 한다.

하지만 많은 기업들은 편의를 위해 외주직원에게 모든 DB접근권한과 매체접근권한을 부여한다. 시스템이나 DB에 접근할 수 있는 권한을 가진 ‘admin1’, ‘admin2’ 등의 아이디가 관리조차 되고 있지 않다. 그 결과가 초유의 개인정보유출사고를 만든셈인다.

이러한 사고를 예방하기 위해서는 전반적인 보안 프레임워크를 새롭게 짜고 강력한 제재방안을 만들 수 밖에 없다. 정책위반자에게는 강력한 페널티를 주고 처벌하는 등 절차를 보다 까다롭고 어렵게 만들어야 한다. 현업에게는 기존에 비해 업부 수행이 비효율적으로 될 수 있으나, 보안의 문제는 사람에서부터 시작된다는 것을 다시 한번 명심해야 한다.

<이민형 기자>kiku@ddaily.co.kr