보안인가증 없어도 기업 50% 무사통과

정보보호 관심없는 기업

▲ 국내 기업 중 고객 정보보호 계획을 수립ㆍ시행하고 있는 곳은 전체의 43.6%에 불과하다. [사진=뉴시스]

국내 기업들은 고객의 개인정보를 큰 어려움 없이 수집한다. 하지만 이에 대응하는 관리ㆍ보호는 제대로 하지 못하고 있다. 절반 이상의 기업이 정보보호 관련 계획을 세우지 않고, 접근통제 시스템, 보안 프로그램 등 기술적인 조치도 하지 않고 있다. 기업의 고객 정보 유출 사태가 계속해서 벌어지는 이유다.

A씨는 한 회사의 서비스를 이용하기 위해 회원으로 가입하며 자신의 개인정보를 제공했다. 그 기업을 믿었기 때문이다. 하지만 그는 최근 회원에서 탈퇴했다. 기업 대부분이 개인 정보를 안전하게 관리하고 있지 않고 있다는 것을 알게 돼서다.

국내 기업들이 고객 정보는 어려움 없이 수집하고 있지만 이에 대한 관리ㆍ보호는 제대로 하지 않는 것으로 나타났다. 안전행정부의 ‘2013년 개인정보 보호 실태 조사’에 따르면(종사자수 1인 이상인 343만개 기업, 조사기간 2013년 6~8월), 국내 기업 중 절반 이상(52.2%)은 고객(임직원 포함)의 개인정보를 수집하고 있다. 수집 목적은 계약의 체결ㆍ이행(63.4%)과 고객 관리ㆍ서비스 제공(63%), 법적의무이행(23.5%)이다. 홍보 또는 마케팅(8.9%)을 위한 경우도 적지 않다. 업종별로 금융ㆍ보험, 의료ㆍ보건, 정보ㆍ통신이 많은 고객의 정보를 보유하고 있다.

기업은 고객 정보를 비교적 쉽게 얻는다. 기업은 홈페이지 회원 가입, 민원ㆍ계약 등 각종서식, 이메일 수집, 개인정보 처리 위탁, 경품ㆍ할인권 행사 등을 통해 고객의 정보를 얻는다. 실제로 한 기업의 서비스를 이용하기 위해 회원으로 가입하려면 주민등록번호 등 개인 정보를 기업에 제공해야 한다. 현재 전체 기업의 12%만이 고객의 주민등록번호를 대신해 기타 인적사항, 이메일 주소, 생년월일, 휴대전화 인증, 공인인증서, 인터넷 신원확인 번호(I-PIN) 등을 활용하고 있다.

문제는 이렇게 수집된 개인정보가 안전하게 관리ㆍ보호되지 않고 있다는 것이다. 국내 기업 중 고객 정보보호와 관련 내부관리 계획을 수립ㆍ시행하고 있는 곳은 전체의 43.6%에 불과하다. 인가되지 않은 직원의 접근을 제한(접근권한의 차등적 부여)하는 기업도 50%를 넘지 않는 등 관리적 조치가 제대로 이뤄지지 않고 있다.

기술적 조치 역시 상황은 비슷하다. 전체 기업의 48.7%만이 접근통제 시스템을 설치ㆍ운영하고 있고, 보안 프로그램을 설치ㆍ갱신하고 있는 곳은 25.1%, 암호화 기술을 적용하는 곳은 31.3%에 불과하다. 또 접속 기록의 보관과 위조ㆍ변조 방지를 위한 조치를 취하고 있는 기업은 10.8%에 머물렀다.

개인정보보호 업무를 담당하는 부서가 없는 기업도 72.7%에 달했다. 일반 관리부서가 맡고 있는 경우가 많고, 보통 타 업무와 병행하고 있는 것으로 나타났다. 이들에 대한 정보 보호ㆍ관리 교육은 거의 이뤄지지 않고 있다. 13.6%만이 실시하고 있는데, 교육 역시 자체 교육이고, 연 1~2회밖에 하지 않는다. 당연히 관련 예산도 적을 수밖에 없다. 기업들은 개인정보보호 업무와 관련 연간 평균 353만원을 쓰고 있는 것으로 조사됐다. 사업자 규모별로는 종업원수 300명 이상이 6114만원, 50~299명이 4536만원, 5~49명이 280만원, 1~4명이 3만원으로 나타났다.

김인석 고려대 정보보호대학원 교수는 “기업이 고객 정보 데이터를 다룰 때 ‘보안’보다는 ‘편리성’에 초점을 맞춰서 일했다”며 “정보 유출 사건이 터졌을 때의 피해를 생각하지 못하고 눈앞의 이익만을 좇은 것이다”고 말했다. 김 교수는 “이제는 기업이 고객 정보 보호에 대한 인식을 바꿔야 할 때”라며 “기술적 보안은 비용을 들여 보안 장비를 사면되지만 관리적 차원은 스스로 전문 인력을 양성해서 해야 한다”고 설명했다.
박용선 더스쿠프 기자 brave11@thescoop.co.kr

박용선 기자 brave11@thescoop.co.kr

다른기사 보기