세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
대학·병원 등 해킹·개인정보 유출 ‘뻥뻥’...자율규제 아직 먼 길
  |  입력 : 2018-04-11 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
교육분야 정보화 시스템, 관리 부실로 해커들의 단골 경유지 악용
개인정보 관리실태 점검 결과 살펴보니...대기업 비롯해 80% 이상 적발
자율규제 위해선 CEO 관심과 함께 시스템·인적 투자비율 5% 이상 끌어올려야


[보안뉴스 김경애 기자] 최근 개인정보를 많이 보유하고 있는 대학, 병원 등에서의 해킹 및 개인정보 유출사고가 잇따라 발생하면서 개인정보보호를 위해 아직 갈 길이 멀다는 지적이 나온다. 본지가 보도한 의료 분야 디페이스 해킹 이슈는 물론 대전대학교 개인정보 유출사건의 경우도 유출 시점을 2016년 4월 이전으로 추정하는 등 그간 관리가 미흡했다는 사실이 여실히 드러나고 있다.

[이미지=iclickart]


교육분야 정보화 시스템, 해커들의 단골 경유지
무엇보다 교육 분야의 경우 개인정보 관리실태를 점검하는 행정안전부(이하 행안부)에서도 지적사항으로 제기한 바 있다. 행정안전부가 운영하는 개인정보침해신고센터(한국인터넷진흥원)에 접수된 내용에 따르면 ○○대학교 부설 연구소에서 행정직원 채용공고를 하면서 지원자들에게 주민등록번호를 기재하도록 요구해 적발되기도 했다.

서울여자대학교 김명주 교수는 “정보보안 사고 여력을 볼 때 대학의 정보화 시스템은 해커들의 단골 경유지였다”면서 “그럼에도 대학들은 정보통신사업자가 아닌데다 대학 재정부담이 커진다는 이유로 정보보호관리체계(ISMS) 인증을 1년 반 넘게 거부해 왔다. 이번 사건은 대학들을 무척 당황하게 만들어 결국 인증을 받을 수밖에 없는 상황으로 내몰고 있다”고 지적했다.

이어 김명주 교수는 “다만 오랫동안 대학등록금이 동결되고 입학정원이 꾸준히 감소하는 통에 교수와 직원의 인건비 삭감까지 시도하고 있는 대학들에게 있어 새로운 인증제도 준비나 정보 시스템의 보안강화 조치는 재정위기 악화를 더욱 가속화시킬 수도 있을 것”이라며 “ISMS 인증 취득이 꼭 필요한 투자 비용이라는 인식을 확신시키는 동시에 대학 정보화시스템의 실질적인 보안수준을 향상시킬 수 있는 방안에 대해 대학과 정부가 머리를 맞대고 시급히 논의해야 한다”고 설명했다.

대학 스스로 이 문제를 풀어내기에는 이미 우리나라 대학들의 체력(?)이 생각보다 많이 약해져 있다고 진단한 김명주 교수는 대학 정보화 시스템이 뚫리고 무너지는 것은 단지 그 대학만의 문제로 한정되는 것이 아니기 때문에 정부도 적극적인 관심과 지원이 필요하다고 덧붙였다.

기업 상당수, 개인정보 관리 여전히 ‘부실’
개인정보 관리 미흡은 비단 교육 분야에만 해당되지 않는다. 개인정보를 수집하거나 보유, 처리하는 곳이라면 상당수가 해당된다. 행안부가 지난해 연말 실시한 ‘고유식별정보 관리실태 현장점검(10개소)’ 결과에 따르면 9개 기관에서 안전조치의무 위반(제29조) 5건 등 총 10건의 법 위반이 적발됐다.

또한, 2017년 산업·물류분야 기관·기업을 대상으로 안전성 확보조치 등 15개 자율점검 항목을 점검한 결과, 총 211개 기관 중 122개 기관에서 251건의 법 위반(57.8%, 평균 2.1건)이 확인된 것으로 드러났다.

주요 위반 사항으로는 전체 법 위반 251건 중 100건(39.8%)이 개인정보처리 시스템에 대한 안전조치의무 위반(제29조)이었으며, 개인정보의 수집·이용 위반(제15조) 36건(14.3%), 처리방침 수립 및 공개 위반(제30조) 33건(13.1%), 개인정보 동의방법 위반(제22조) 22건(8.8%) 등이었다.

개인정보 관련 업무를 맡고 있는 정부 관계자는 “선진국의 개인정보보호 수준이 60% 정도라면 우리나라 대기업은 절반인 30% 수준으로, 실제 예산 투자는 고작 1.5%에 불과한 곳이 상당수”라고 지적했다.

기업들의 자율규제 요구, 아직 시기상조?
그럼에도 기자가 취재하다 보면 기업들의 자율규제 요구의 목소리가 적지 않다. 하지만 정부부처들은 아직도 갈 길이 멀다는 입장이다. 보안전문가들 역시 이번에 개인정보 유출사고가 발생한 대전대학교 등 교육기관을 비롯해 제조업, 여행사, 컨설팅 등 개인정보를 수집·보유하고 있는 기업의 보안관리 수준이 아직도 턱없이 못 미친다고 입을 모았다.

이와 관련 정부부처 관계자는 “기업의 의견을 들어보면 자율규제를 요구하는 목소리가 대부분”이라며 “하지만 자율규제는 모범적인 극히 일부 기업에 국한된 사안으로, 잊을만 하면 개인정보 유출사고가 터지는 걸 보면 아직도 매우 부족하다는 걸 알 수 있다. 이는 CEO의 관심은 물론 시스템과 인력 확충을 위해 전체 IT 예산의 최소 5% 이상은 투자돼야 하는데 실제로는 그 이하이기 때문”이라며, 개인정보 관리부실의 원인을 지목했다.

현재 150여개 협회 중 12개 협회가 자체적으로 자율점검을 진행하고 있는 것으로 알려졌다. 하지만 여기에는 지난해 개인정보가 유출된 여행사 업계도 포함된 것으로 본지 취재결과 드러났다. 협회가 자체적으로 추진하는 자율규제의 실효성이 떨어진다는 지적이 나올 수 있는 대목이다. 이는 자율규제가 원활히 이루어지기 위해서는 개인정보보호 수준을 더욱 끌어올려야 한다는 얘기다.

또 다른 정부부처 관계자도 “내노라 하는 국내 대기업을 비롯해 선두권 컨설팅 업체들의 개인정보 관리실태를 봐도 답답한 수준”이라며 “자체 점검을 한 이후에 점검해도 80% 이상 적발된다”며 쓴소리를 했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)