유준상 한국정보기술연구원(KITRT) 원장.© News1


"보안에 대한 근본적인 인식이 바뀌어야지 가만히 놔둬선 안됩니다."서울 테헤란로에 위치한 한국정보기술연구원 '베스트 오브 베스트(BoB)' 교육센터에서 만난 유준상 한국정보기술연구원(KITRI) 원장(72)은 최근 1억건에 달하는 카드사의 개인정보 유출 사고에 대해 "보안불감증으로 수년째 사고가 재발하고 있다"며 탄식했다.

돈을 목적으로 개인정보를 빼내려는 블랙해커에 맞설 수 있는 화이트해커를 집중 양성해야 한다고 주장하고 있는 유 원장은 "개인정보 유출은 어제오늘 문제가 아니다"며 "현대캐피탈이나 IBK캐피탈부터 시작해 바로 작년에만 해도 메리츠 화재, 한화손해보험 등에서 개인정보 유출 사고가 여러번 발생했는데도 변한 게 없어 답답하다"고 했다.

◇"인재(人災) 막으려면, 착한 인재(人材) 양성해야"

유 원장은 "이번 카드사 개인정보 유출은 내부보안에 구멍이 뚫려서 생긴 명백한 인재(人災)"라며 "기술만 개발한다고 해서 사고가 발생하지 않는다는 것을 여실히 보여준 사건"이라고 했다. 이어 "보안에 있어서 사람의 역할이 얼마나 중요한지 다시한번 일깨워주는 계기로 삼아야 한다"고 덧붙였다. KB국민카드·NH농협카드·롯데카드에서 발생한 개인정보 유출 사건은 카드회사와 함께 일하는 개인신용평가회사의 직원에 의해 발생했다. 그는 "카드사에서 불법으로 수집한 개인정보 1억400만건을 1650만원에 넘겼다는 것은 기가 찰 노릇"이라며 "보안 담당자의 지위를 개선했다면 막을 수도 있었을 것"이라고 말했다. 이어 그는 이런 사건이 다시 발생하지 않으려면 유명무실해진 정보보호최고책임자(CISO) 제도를 강화해야 한다고 주장했다.

2011년 농협 해킹과 전산망 마비 사태가 발생하면서 2012년부터 총자산 2조원 이상이고 종업원 300명 이상인 회사는 CISO 임원을 두도록 했다. 그러나 CISO를 최고정보책임자(CIO)가 겸직하거나 CIO 아래 두는 등 독립성을 갖지 못하면서 사실상 유명무실해진 형편이다. 보안최고책임자로서 권한과 역할뿐 아니라 보안예산도 증액할 필요가 있다고 유 원장은 지적했다.

유 원장은 "우리나라 보안산업은 인재 수급불균형이 심각한 상태"라며 "정보보안 최고경영자과정'을 추가 개설해 인력의 풀을 넓혀야 한다"고 제시했다.

◇보안인식 제고돼야…"보안이 비용? 보안은 투자다"

유 원장은 지난해 발생한 메리츠화재의 경우를 예로 들며 "과태료 600만원에 기관 경고에서 끝났다"면서 "보여주기에 그친 것"이라고 지적했다. 정부에 대한 쓴소리도 서슴지 않았다. "일벌백계하지 않은 정부의 책임도 크다"며 "보안에 대한 허술한 인식 상태가 얼마나 심각한지 여실히 보여주는 것"이라고 말했다. 이어 "개인정보를 유출한 기관은 국민의 정보를 부주의하게 관리한 것에 대한 징벌적 손해배상 등의 책임을 지도록 만들어야 한다"고 주장했다.

유 원장은 "이번 사건도 처벌을 강화해 기업들이 경각심을 갖게 되는 계기로 만들어야 한다"며 "근본적인 해결을 하기 위해서는 보안에 대한 인식을 고쳐먹어야 한다"고 말했다. 그는 "기업이나 정부에서는 보안을 위해 들어가는 금액을 '비용'"이라고 생각하는데, 보안은 투자"라며 "이번 일에서 보듯이 보안관리가 허술하면 수백배 더 큰 돈이 들어간다"고 했다.

이어 유 원장은 보안문제에 대해 인식전환을 이루고 이를 현실에 접목할수 있는 포럼의 필요성을 강조했다. 그는 "정계와 학계, 산업계, 언론계 보안전문가들이 모여 현장의 목소리를 대변하고 정책을 만들어야 한다"면서 "그래서 2월 14일에 서울 여의도 국회 헌정기념관에서 'K-BoB 시큐리티 포럼'을 개최할 계획"이라고 밝혔다.
유준상 한국정보기술연구원(KITRI) 원장.© News1


song65@news1.kr