계속되는 개인정보 유출 사고, 기업의 정보보호는 이제 필수

지난 2013년 2월 15일, SK커뮤니케이션즈(이하 SK컴즈)가 네이트, 싸이월드 회원 3,500만 명의 개인정보 유출 사태와 관련한 집단소송에서 패소했다. 서울서부지법 민사12부 배호근 부장 판사는 "SK컴즈는 3,500만 명의 개인정보가 유출된 것을 인지하지 못한 점, 담당직원이 로그아웃하지 않고 PC를 방치해 해커가 서버에 접근한 점, 공개형 알집 소프트웨어를 사용한 점 등이 과실로 인정된다"라며, 해킹 피해자 2,737명이 SK컴즈를 상대로 낸 손해배상 청구소송에서 원고들에게 각각 위자료 20만 원을 지급하라고 판결했다. SK컴즈는 이번 판결에 대해 지난 27일 항소했다.

현재 2,737명에게 20만 원의 위자료를 지급하라고 판결한 상황이지만, 만약 개인정보가 유출된 3,500만 명 모두에게 위자료를 지급할 수도 있는 잠재적 위험 비용은 7조 원에 이른다. 이는 매출액의 25배가 넘는 금액이며, 기업의 존폐를 결정하게 되는 위협 요인이다. 때문에 이번 SK컴즈 집단소송 위자료 지급 판결을 계기로 기업의 고객 정보 관리와 잠재적 위험비용 증가에 대한 관심이 높아지고 있다. 지난 몇 년 동안 보안사고가 발생한 기업뿐만 아니라 잠재적 위험에 노출된 모든 기업도 정보 보호 문제로 생존을 위협받을 수 있다.

해킹사고로 인한 개인정보 유출로 진행한 국내 집단소송에서 피해배상 판결이 난 것은 이번이 처음이다. 지금까지 해킹 사건이 발생했을 경우, 해당 기업이 규정된 기술 의무를 지켰다면 기업에게 책임을 묻지 않던 것이 전례였다.

보안 사고 사례당 피해액에 대해 Verizon business risk팀의 글로벌 사례 분석을 보면 평균 70억 원 정도이며, 이중 45억 원을 잠재적 손실 비용으로 평가한다. 미국 기업은 기업의 잠재적 손실을 피하기 위해 해킹 보험을 가입하고 있으며, 2012년 상반기 기준 미국 해킹 보험 가입비는 총 10억 달러(약 1조 1,000억 원)에 이른다. 올해에는 12억 달러(약 1조 3,200억 원)로 늘어날 전망이다.

특히 그는 "그간 국내 기업들이 보안 솔루션에 많은 비용과 인력을 투자해 보안을 강화했다"라며, "최근에 발생한 여러 보안 사고도 기업 내 보안 솔루션이 부족했다기 보다 국내 IT업체들이 지향했던 개방형 보안 체제가 보안 측면에서 위험도를 높인 역효과를 만들었다"고 언급했다.

기업 내 핵심 데이터는 비(非) 개방형 체제를 통해 구조적인 접근 제한을 하는 것이 잠재적 위험을 줄이는 대안이 될 수 있다. 유 상무는 "글로벌 포춘 500대 기업의 71%, 글로벌 상위 100개 중 96개 은행 등이 국내의 개방형 아키텍처 서버와 달리 비 개방형 아키텍처인 '메인프레임 시스템'을 사용하고 있다는 점은 국내 기업에게 시사하는 바가 크다"고 강조했다.

글 / IT동아 권명관(tornadosn@itdonga.com)