[아이티데일리] “개인정보 유출 사고를 들여다보면 최소한의 기준을 지키지 않아서 발생한 경우가 많다. 사고가 일어난 뒤에 사후 조치는 이미 늦다. 법에서 제시하는 기술적·물리적 보호 조치 기준을 바탕으로 보안을 내재화하는 노력이 선행돼야 한다.”

제이앤시큐리티 김경하 대표는 15일 금융보안원이 서울 여의도 금융투자협회에서 개최한 ‘금융분야 개인(신용)정보 보호 세미나’에서 보안 체계 강화를 위한 법령 준수를 강조했다.

최근 국내 기업 및 기관 대상으로 사이버 공격이 잇따르고 있다. 지난 4월 SK텔레콤에서 고객 유심(USIM) 정보 유출 사고가 발생했으며, 지난달에는 인터넷서점 예스24가 랜섬웨어 공격으로 서비스 일체가 마비되기도 했다.

금융권도 예외는 아니다. SGI서울보증은 지난 14일 시스템 장애가 발생하며 주택담보대출, 전세대출 등의 보증 업무에 차질을 빚고 있다. 금융당국에선 사고 정황을 조사 중이나, 회사는 랜섬웨어 공격을 원인으로 추정하고 있다.

이처럼 연이은 사고에 대해 김경하 대표는 “특히 금융권은 컴플라이언스에 매몰된 나머지 보호 조치를 형식적 수준에서 지키는 데 그친다”며 “기본으로 돌아가 보안 체계를 제대로 만들었는지 되짚어봐야 한다”고 강조했다.

이어 김 대표는 일회성 조치가 지닌 한계 또한 지적했다. 그는 “보안 사고가 이어지며 금융회사들은 더 많은 조치를 적용하고 있다. 하지만 시간이 지나고 나면 그러한 노력이 희석되고 사고가 반복된다”며 “끌어올린 보안 수준을 유지하기 위한 관리 체계를 어떻게 마련할지, 그리고 그 체계를 회사 환경에 맞게 운영하는 방안은 무엇일지 고민해야 한다”고 조언했다.

김 대표는 모호한 현행 법규가 기업의 대응을 어렵게 만드는 구조적 문제점도 짚었다. 금융권은 현재 개인정보보호법(이하 개보법)과 신용정보법(이하 신정법)의 적용을 받고 있다. 두 법의 적용 범위가 중첩되지만 이를 명확히 구분하는 규정은 없어, 기업들은 사례마다 개별적으로 판단해야 하는 어려움을 겪고 있다.

특히 유출 사고 발생 시 어느 법에 해당하는지에 따라 과징금 규모가 달라질 수 있다. 두 법 모두 전체 매출액의 3%로 상한선은 같으나 과징금을 산정하는 세부 기준에서 차이가 발생한다. 개보법은 감경 사유를 폭넓게 명시하는데 신정법은 그렇지 않다. 매출액 산정에서도 개보법은 위반 행위와 관련 없는 매출액은 제외하지만, 신정법은 전체 매출액을 기준으로 삼아 더 포괄적이다.

김경하 대표는 “기업에서 특정 정보가 개인정보인지 신용정보인지 구분하기란 어렵다. 유출 시 72시간 내로 신고해야 하는데 어느 법에 해당하는지를 그 짧은 시간 내에 판단할 수 없다”며 “두 법에서 규정한 보호 조치를 가능한 한 모두 이행하고, 사고가 일어났을 때도 관련 감독기관에 다 신고하는 것도 하나의 전략”이라고 설명했다.

김 대표는 “다만 기업에서 어느 법에 해당하는지 판단하기에 복잡하고 애매한 상황이 많다. 개인정보보호위원회와 금융위원회가 협의해 신고 기준 등을 정리해 주길 바란다”고 제언했다.