정부의 기업의 정보 보안 규정 관여가 국내 기업의 개인정보 보호를 취약하게 한다는 지적이 나왔다.
11일 김승주 고려대 사이버국방학과 교수가 한국인터넷진흥원 정보보안 자료집에 실은 '우리 보안분야는 창조경제 시대를 맞을 준비가 되었는가'라는 논문에 따르면 최근 몇년간 국내 인터넷서비스나 온라인 기업의 개인정보 유출 사고로 인한 피해가 커지고 있지만 업체의 보상은 제대로 이뤄지지 않았다.
논문은 "2006년부터 최근까지 온라인 게임회사, 포털서비스 업체, 카드사와 은행을 포함한 금융권을 대상으로 한 해킹공격으로 개인정보 유출과 그로 인한 피해가 급증했지만 피해 보상은 미비한 수준에 그쳤다"고 진단했다.
가장 큰 원인은 국내에서는 특정 보안 위험에 대한 최소한의 대책을 정부가 직접 규율하는 방식이다.
논문은 대표사례로 꼽은 정보통신망법 시행령, 전자금융감독규정시행 세칙의 관련 규정을 보면 '주민등록번호 및 계좌정보 등 금융정보를 암호화해서 저장할 것', '이용자 컴퓨터(PC)의 정보유출 방지를 위해 이용자 접속 시 우선적으로 개인용 침입차단시스템, 키보드 해킹방지 프로그램 등의 보안프로그램을 설치할 것'처럼 기업이 취할 조치를 정부가 일일이 명시하고 있다.
논문은는 이에 대해 "기업의 창의적이고 능동적인 보안대책 개발 시도를 제한하고 보안기술의 경쟁력도 저하하고 있다"고 평가했다.
이어 "해킹사고가 일어났을 때 기업이 '우리는 법에서 하라는 것은 다했으니 사고는 불가항력이었다'고 인식할 여지를 남겨둔다는 문제도 있다"고 지적했다.
논문에 따르면 미국, 영국, 일본 같은 정보보호 선진국은 기업이 직접 자사 서비스와 관련된 보안위협을 평가하고 대책을 세우도록 하고 있다.
또 각 기업은 책임규명설비를 의무적으로 갖춰놓고 사고가 발생하면 과실 유무를 명확히 규명해야 한다. 이는 일명 '감식 준비제도'라 불리는 방식으로 목적은 소비자에게 피해 보상을 확실히 하는 데 있다.
논문은 "이런 방식을 쓰면 산업의 확산이 상대적으로 더딘 단점이 있지만 기업들이 보안문제에 더 적극적으로 나서게 되는 효과가 있다"고 설명했다.
논문에 따르면 지난해 국내 모바일 인터넷 사용자는 1천900만명을 넘었다. 이에 따라 트위터, 구글, 페이스북 같은 대형 서비스를 통한 일인 벤처기업과 일인 미디어도 확산하는 추세다.
김 교수는 "각 회사가 제공하는 제품과 이용자의 유형이 다양해짐에 따라 기업이 수집하는 정보의 유형과 사용하는 기술의 종류도 천차만별이기 때문에 보안 문제도 매번 달라진다"고 분석했다.
그러면서 "십수년 전에 만들어진 직접규제에 기반을 둔 현행 법규로는 인터넷 문화의 급격한 변화를 제대로 따라가지 못하고 있다"고 진단했다.
