[뉴스컬처 최진승 기자] 최근 약 3400만 건의 개인정보 유출 사고가 발생한 쿠팡 사태는 기업의 보안 의식 부재와 제도적 허점이 빚어낸 사회적 재해라는 비판이 일고 있다. 대다수 국민의 정보가 유출된 이번 사건을 계기로 보안 사고를 중대재해로 인식하고 징벌적 손해배상을 통해 기업의 책임 회피를 막아야 한다는 목소리가 커지고 있다.
하지만 이번 쿠팡 사태도 이전에 발생한 개인정보 유출 사례와 마찬가지로 피해자들이 의미 있는 보상을 받기는 어렵다는 게 중론이다. 개인정보보호법에서 도입한 손해 배상 제도가 제대로 기능하지 않고 있기 때문이다. 이에 제도적 미비가 사고를 키웠다는 지적과 함께 개인정보보호법에 대한 정비가 시급하다는 비판이 일고 있다.
◇ 사고 원인은 'HTTPS 키 탈취'와 'DB 비암호화'
복수의 업체 관계자에 따르면 이번 쿠팡 개인정보 유출 사건의 주요 원인은 크게 두 가지로 볼 수 있다. HTTPS 프라이빗 키(Private Key) 탈취와 민감 정보의 비암호화가 그것이다.
이번 사건의 기술적 원인으로는 SSL/TLS 프라이빗 키가 외부로 유출된 점이 지목된다. HTTPS는 브라우저와 서버 간 암호화 통신을 위해 퍼블릭 키와 프라이빗 키를 교환하는 구조를 갖는다. 하지만 프라이빗 키가 탈취되면 공격자는 합법적인 서버로 위장해 고객 데이터에 무단 접근할 수 있다. 보안업체 한 관계자는 "보안 채널(암호화 채널)인 HTTPS의 프라이빗 키는 클라이언트가 서버에 접속할 때 승인하는 역할을 하는데, 키가 유출됐을 경우 외부에서 우회 접속해 마치 승인한 것처럼 위장할 수 있다"고 말했다. 관리자가 프라이빗 키를 이용해 외부에서 얼마든지 관리 서버에 접속할 수 있다는 얘기다.
이번 사고의 또 다른 원인은 민감 정보의 비암호화에 있다. 즉 유출된 정보 가운데 공동 현관 비밀번호와 같은 민감 정보나 고객 주소 등의 정보가 암호화 없이 저장됐다는 데 있다. 비록 고객DB가 유출되었더라도 주요 정보의 암호화가 잘 되었다면 피해를 줄일 수 있었다는 의미다.
◇ 주소·이름은 암호화 예외... '민감정보' 기준 불명확
문제는 왜 고객정보를 암호화하지 않았는가에 있다. 현행 개인정보보호법은 고객의 ‘민감정보’를 암호화하도록 명시하고 있다. 하지만 민감 정보에 대한 기준이 모호해 이 또한 논란거리다.
개인정보보호법에는 주민번호, 비밀번호, 전화번호는 민감 정보로 명시되어 있지만, 주소와 이름 등은 예외로 하고 있다. 주소만으로 고객을 특정할 수 없고, 이름의 경우 동명이인이 있어서 마찬가지로 고객이 특정되지 않는다는 이유다. 하지만 이 같은 기준은 현실과 동떨어진 탁상공론의 결과라는 지적이다. 몇 가지 정보만 조합하면 고객이 누구인지 알 수 있기 때문이다.
개인정보보호법상 기업의 면책 사유를 폭넓게 인정해주는 점도 문제다. 법령에서는 기업의 정보처리자가 사고 책임에 대해 귀책사유 없음을 입증하도록 하고 있다. 하지만 과거 사례를 보면 법원은 기업이 어느 정도의 보안 조치(방화벽, 암호화 등)를 했다면 주의 의무를 다했다고 보는 편이다.
손해배상에 대해서도 낙관하기 어려운 실정이다. 개인정보보호법은 중대과실 사고에 대해 손해액의 5배까지 지급을 하도록 하는 징벌적 손해배상 제도를 도입했지만, 문제는 구체적인 피해 사실을 입증하기 쉽지 않다는 데 있다. 법무법인 센트로 김택종 변호사는 "피해자가 손해액을 입증해야 하는데, 정보 유출 자체만으로 손해가 발생한다고 보기는 어렵기 때문에 결국 위자료 문제로 끝날 가능성이 높다"고 말했다.
징벌적 손해배상 조항이 유명무실한 것은 과거 사례에서도 드러난다. 대규모 보안사고에 대해 실질적인 배상이 이루어진 사례가 없기 때문이다. 보안업계 관계자는 "대기업들은 법적 명확성이 부족한 허점을 이용해 재판 과정에서 예외조항이나 기타사유를 들어 처벌을 회피해 왔다"고 말했다.
◇ 인적·물적 인프라 확대 및 법제도 개선 시급
전문가들은 기업이 평소 보안사고에 대비한 인적·물적 인프라를 확대해야 한다고 입을 모은다. 보안관리자의 역할을 강화하고 시스템 투자를 통해 보안 위협을 최소화해야 한다는 지적이다. 보안업계 관계자는 "시스템 개발 단계에서부터 해킹 시나리오 기반 테스트와 영향 평가를 의무화해야 한다"면서 "키 탈취, 내부자 변절 등 현실적 공격 시나리오를 반영한 모의 침투 테스트가 필요하다"고 말했다.
HSM(Hardware Security Module) 등 보안시스템에 대한 투자와 점검도 필요하다. 프라이빗 키는 반드시 HSM에 암호화 저장을 통해 물리적 논리적 접근을 차단할 필요도 있다. 이번 쿠팡 사태에서 보이듯 암호화되지 않은 DB는 내부자 공격에 취약할 수밖에 없다.
이밖에도 퇴직자 계정 차단, 접근 권한 최소화, 키 관리 프로세스 강화 등도 필수적으로 거론된다. 특히 민감정보는 ‘암호화 후 접근 제어’ 원칙을 적용해야 한다는 지적이다.
법·제도적 개선도 시급하다. 개인정보보호법상 민감정보의 범위를 명확히 하고 예외조항을 최소화해야 한다. 징벌적 손해배상 조항을 실효성 있게 적용하기 위한 법 개선도 병행되어야 한다. 김택종 변호사는 "피해자의 손해 입증이 없더라도 법원이 직권으로 1인당 300만원까지 손해액을 임의로 인정할 수 있다"면서 "하지만 그 규정을 활용하는 데 있어서 법원의 태도는 매우 소극적이다"라고 말했다.
뉴스컬처 최진승 newsculture@nc.press
Copyright ⓒ 뉴스컬처 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
