잊을 만하면 금융회사 개인정보 유출 사건이 터지곤 합니다. 몇 해 전 사상 최악의 카드 사태가 터질 때에는 “개인정보는 곧 공공정보”라는 말까지 나왔습니다. 이에 정부는 정보유출 피해를 최소화하기 위해 ‘개인정보보호법’의 개정안을 마련, 지난 9월 30일자로 시행에 돌입했습니다. 관련 법령에 따라 보험사들은 늦어도 내년 말까지 고객 주민번호 전부를 암호화하는 등의 준비를 해야 합니다. 이미 관련 작업을 마친 보험사들이 있지만, 이제 시작하는 곳들도 많습니다. 무슨 준비를 어떻게 해야 하는 건지 짚어봤습니다. [편집자주] |
인더뉴스 권지영 기자ㅣ “우리나라 보험사 정보보안 수준은 걸음마 단계입니다. 경영진이 적극 나서 개인정보보호를 강조해야 하고, 정보유출배상보험에도 가입하는 등 관심을 가져야 합니다.“
보험사들을 포함해 모든 금융회사는 1년 한 번씩 5일에 걸쳐 방송통신위원회 산하 기관인 한국인터넷진흥원으로부터 자율적으로 개인정보보호관리체계 심사를 받는다. 특히, 고객 개인정보를 많이 보유한 금융사의 경우에는 개인정보보호법에 근거해 강도 높은 정보 인증 심사를 진행한다.
심사에는 국가 전문가 자격을 보유한 정보보호 전문가 5명 가량이 참여한다. 한국품질보증원의 박억남 정보보호 전문심사원을 만나 보험사 개인정보보호 실태에 대해 이야기를 나눴다.
박억남 전문심사원은 현재 국제정보보호인증, 개인정보보호관리체계, 개인정보 영향평가 등을 평가하는 전문심사원으로 활동하고 있다. 개인정보를 보유한 모든 기업이 적법한 절차로 정보를 수집· 이용하는지, 보안 수준은 얼마나 견고한지, 시스템의 취약점은 없는지 등을 면밀히 살펴보는 역할이다.
“보험 회사는 개인정보보호법에 따라 86개 항목을 통해 개인정보보호 관리체계를 심사합니다. 특히, 보험사에는 고객 주민번호와 주소 등 개인정보도 있지만, 보험청약 중 개인의 질병 등 민감한 정보까지 모두 집적되고 있어 철저한 관리가 필요합니다. 무엇보다 회사가 정보를 얼마나 잘 관리하는지가 제일 중요하죠.”
박 심사원은 정보는 언제든 유출될 리스크가 있기 때문에 보안 수준을 높이는 것이 우선돼야 한다고 강조했다. “기본적으로 원본 데이터의 변경, 유출, 침해 사고 가능성을 최소화해야 합니다. 하지만 내부 관리 부실 혹은 갑작스러운 해커의 공격으로 사고날 수 있으니, 사전에 리스크가 없는 지 확인해서 예방하는 게 최선입니다.”
박 심사원은 보험사의 정보보호 투자 예산은 실망스러운 수준이라고 털어놨다. “은행, 증권, 보험, 카드 등 금융사 중에서는 현재 보험사의 정보보안이 가장 취약해요. 회사명을 자세히 밝힐 수는 없지만 예산이 거의 제로에 가까운 곳도 있습니다. 이에 비해 은행, 증권은 정보보호 예산이 많은 편입니다.”
그는 최근 국정감사에서 지적됐던 기업의 개인정보보호 예산 부족에 대해서도 언급했다. “2015년 기준 현재 10개 중 8개 이상 기업은 개인정보보호 예산이 0원이라고 합니다. 개인정보의 보안 프로그램 설치, 암호화 기술 적용, 접속기록 보관이나 위변조 방지 등 기술적인 조치가 매우 미흡한 상황입니다.”
이유는 뭘까. 기업의 경영진이 정보보호를 경영전략의 리스크 요소로 꼽지 않기 때문이라는 게 박 심사원의 설명이다. “보통 리스크는 재무적 측면에서만 보는데요. 최근 기업의 사회적 책임에서 비재무적 책임, 즉 개인정보보호에 대해서도 기업 스스로 책임지고, 역할을 강화해야 하는 추세입니다.”
또 박 심사원은 보험사를 비롯해 고객 정보를 다량으로 보유하는 기업들은 '개인정보유출배상보험'에 가입할 것을 권했다. “개인적으로 정보 보관 규모가 10만건이 넘어가는 기업은 리스크 경감 차원에서 보험에 가입하는 것이 좋다고 봅니다. 개인정보의 가치를 환산해 유출됐을 경우 피해액을 산정할 수 있습니다.”
그는 기업의 경영진을 대상으로 개인정보보호의 중요성에 대해 교육도 병행돼야 한다고 강조했다. “경영진이 관리의 중요성을 깨달아야 예산도 투입되고, 개인정보유출보험에 가입하는 등 적극적으로 대비할 것으로 생각됩니다.”
만약 개인정보가 유출됐을 경우는 가급적 빨리 정보주체자(고객)에 알려야 한다고 조언했다. “사고가 났다면, 회사 자체적으로 24시간 이내 방통위 또는 한국인터넷진흥원에 신고한 후, (24시간 이내)이용자(고객)에 알려야 하고, 유출 원인을 정확하게 분석해 피해를 최소화하려는 노력이 필요합니다.”