계속되는 개인정보 유출 사고, 기업의 정보보호는 이제 필수
지난 2013년 2월 15일, SK커뮤니케이션즈(이하 SK컴즈)가 네이트, 싸이월드 회원 3,500만 명의 개인정보 유출 사태와 관련한 집단소송에서 패소했다. 서울서부지법 민사12부 배호근 부장 판사는 "SK컴즈는 3,500만 명의 개인정보가 유출된 것을 인지하지 못한 점, 담당직원이 로그아웃하지 않고 PC를 방치해 해커가 서버에 접근한 점, 공개형 알집 소프트웨어를 사용한 점 등이 과실로 인정된다"라며, 해킹 피해자 2,737명이 SK컴즈를 상대로 낸 손해배상 청구소송에서 원고들에게 각각 위자료 20만 원을 지급하라고 판결했다. SK컴즈는 이번 판결에 대해 지난 27일 항소했다.
현재 2,737명에게 20만 원의 위자료를 지급하라고 판결한 상황이지만, 만약 개인정보가 유출된 3,500만 명 모두에게 위자료를 지급할 수도 있는 잠재적 위험 비용은 7조 원에 이른다. 이는 매출액의 25배가 넘는 금액이며, 기업의 존폐를 결정하게 되는 위협 요인이다. 때문에 이번 SK컴즈 집단소송 위자료 지급 판결을 계기로 기업의 고객 정보 관리와 잠재적 위험비용 증가에 대한 관심이 높아지고 있다. 지난 몇 년 동안 보안사고가 발생한 기업뿐만 아니라 잠재적 위험에 노출된 모든 기업도 정보 보호 문제로 생존을 위협받을 수 있다.
해킹사고로 인한 개인정보 유출로 진행한 국내 집단소송에서 피해배상 판결이 난 것은 이번이 처음이다. 지금까지 해킹 사건이 발생했을 경우, 해당 기업이 규정된 기술 의무를 지켰다면 기업에게 책임을 묻지 않던 것이 전례였다.
보안 사고 사례당 피해액에 대해 Verizon business risk팀의 글로벌 사례 분석을 보면 평균 70억 원 정도이며, 이중 45억 원을 잠재적 손실 비용으로 평가한다. 미국 기업은 기업의 잠재적 손실을 피하기 위해 해킹 보험을 가입하고 있으며, 2012년 상반기 기준 미국 해킹 보험 가입비는 총 10억 달러(약 1조 1,000억 원)에 이른다. 올해에는 12억 달러(약 1조 3,200억 원)로 늘어날 전망이다.
한국IBM 유형림 상무는 "그동안 정부에서 제시한 정보 보호 관련 법률 및 규정이 기업의 책임을 면책 받을 수 있는 기준으로 받아들여졌다. 하지만, 이번 판결을 통해 정부의 법률과 규정은 기업이 준수할 최소한의 기준이며, 개인정보 보호를 위한 최종 책임은 기업에 있다는 패러다임의 변화를 가져왔다"고 밝혔다. 이어서 그는 "이제 기업은 생존의 측면에서 정보 보호 체계를 재검토할 시점이며, IT가 아닌 경영적 관점에서 정보보호와 잠재적 손실 위험에 대해 적극적인 대응책을 간구하고 관리해야 한다"고 말했다.
특히 그는 "그간 국내 기업들이 보안 솔루션에 많은 비용과 인력을 투자해 보안을 강화했다"라며, "최근에 발생한 여러 보안 사고도 기업 내 보안 솔루션이 부족했다기 보다 국내 IT업체들이 지향했던 개방형 보안 체제가 보안 측면에서 위험도를 높인 역효과를 만들었다"고 언급했다.
기업 내 핵심 데이터는 비(非) 개방형 체제를 통해 구조적인 접근 제한을 하는 것이 잠재적 위험을 줄이는 대안이 될 수 있다. 유 상무는 "글로벌 포춘 500대 기업의 71%, 글로벌 상위 100개 중 96개 은행 등이 국내의 개방형 아키텍처 서버와 달리 비 개방형 아키텍처인 '메인프레임 시스템'을 사용하고 있다는 점은 국내 기업에게 시사하는 바가 크다"고 강조했다.
글 / IT동아 권명관(tornadosn@itdonga.com)