고객정보 못지킨 죄, 보안담당 혼자 져라?

쟁이

2010.05.11 16:20

기사를 보면서 씁쓸함을 감출수가 없다.
기업의 담당자들이 이 기사보면서 다들 마음 졸이고 있을텐데..

기업에서의 예방 및 대응책이란 것이 경영진의 의지없이 독단으로 처리가 가능한 일이
얼마나 있으려나. 이렇게 보안담당자 처벌하면 개인 정보 유출이 막아지나?
방패는 창을 따라가지 못한다는 것을 망각한 모양이군.

中 해커에 당한 업체 직원 첫 입건
"범죄자 낙인 누가 일하겠나" 논란 가열

"계속해서 발생하는 개인 정보 유출 막기 위한 결정이다."(사이버경찰청 관계자)
"범죄자란 낙인이 찍히는데, 이 바닥에서 일할 사람은 아무도 없다."(보안업체 관계자)

정보 유출 보안담당자에 대한 형사처벌 문제가 보안업계의 뜨거운 감자로 떠오르고 있다.

사용자 삽입 이미지

서울경찰청 사이버수사대는 최근 중국 해커가 B중고차 매매사이트에서 빼낸 51만명의 개인정보를 스팸메시지 업체에 팔아 넘긴 사건 처리 과정에서, 고객들의 개인 정보를 제대로 보호하지 않았다는 혐의로 해당 사이트의 보안담당자도 형사입건 했다.

인터넷 침해사고 발생시, 해커와 더불어 피해 업체의 보안담당자를 형사 입건한 것은 처음이다.'정보통신 서비스 제공자 등이 개인정보를 취급할 때는 개인 정보의 분실 및 도난 등을 방지하기 위해 기술적ㆍ관리적 조치를 해야 한다'는 정보통신망이용에 관한 법률을 위반했다는 이유에서다.

사이버수사대 관계자는 "관련 법률에 따르면 각 업체의 보안담당자는 인터넷 침해 사고에 대비해 개인 고객 정보를 암호화 시키거나 차단 시스템을 만드는 등의 보호 노력을 기울여야 한다"며 "이번 사례는 보안담당자의 임무 소홀에 따른 법적 책임을 묻는 첫 케이스"라고 설명했다.

하지만 경찰의 이 같은 방침에 대해 보안업계가 강력 반발하고 있다. 보안 사고의 법적 책임을 업체의 일개 보안담당자에게 묻는다는 것은 상식 밖의 처사란 입장이다.

안철수연구소 관계자는"보안 문제 해결을 위한 선결과제는 보안담당자에게 법적 잣대를 적용하는 것이 아니라, 인터넷 사용자들의 전반적인 의식 수준을 끌어올리는 것"이라고 지적했다. 스마트폰과 소셜네트워크, 이메일 등 정보기술(IT)의 활용 범위가 넓어지는 상황에서 보안담당자에 대한 형사 처벌은 근본적인 해결책이 될 수 없다는 설명이다.

소프트웨어 개발 전문 업체인 이스트소프트 관계자도 "보안에 대한 최고경영자(CEO)의 의식이 바뀌지 않고, 투자가 이루어지지 않는 상황에서 보안담당자의 역할은 한계가 있다"며 "회사가 아닌 보안담당자에게만 법적 책임을 묻는다는 것은 가혹하다"고 비판했다.

이와 관련, 방송통신위원회와 한국인터넷진흥원이 2,300개 업체(종사자 5인 이상)를 대상으로 분석한 '2009 정보보호 실태조사'에 따르면 지난해 정보보호를 위한 투자를 한 푼도 안 한 기업은 전년대비 19.1% 포인트 증가한 63.6%에 달해 기업들의 정보보호에 대한 인식 개선은 뒷걸음치는 것으로 나타났다.

한국정보보호학회장인 임종인 고려대 교수는 "정보 유출 책임을 보안담당자에게만 국한 시키는 것은 문제가 있다"며 "CEO나 회사에 책임을 부과하는 것도 기업들의 보안 의식을 끌어올릴 수 있는 현실적인 방안이 될 수 있을 것"이라고 조언했다.

'쟁이' 카테고리의 다른 글

정보보안자격증의 종류  (2) 2010.12.21
보안 전문가들이 실패하는 이유 (그리고 대책)  (0) 2010.12.13
고객정보 못지킨 죄, 보안담당 혼자 져라?  (0) 2010.05.11
보안 블로그 모음  (0) 2010.05.11
MBSA 설치 및 활용  (0) 2010.05.11
Linux 보안설정  (0) 2010.05.11

티스토리 툴바