"계속해서 발생하는 개인 정보 유출 막기 위한 결정이다."(사이버경찰청 관계자)
"범죄자란 낙인이 찍히는데, 이 바닥에서 일할 사람은 아무도 없다."(보안업체 관계자)
정보 유출 보안담당자에 대한 형사처벌 문제가 보안업계의 뜨거운 감자로 떠오르고 있다.
서울경찰청 사이버수사대는 최근 중국 해커가 B중고차 매매사이트에서 빼낸 51만명의 개인정보를 스팸메시지 업체에 팔아 넘긴 사건 처리 과정에서, 고객들의 개인 정보를 제대로 보호하지 않았다는 혐의로 해당 사이트의 보안담당자도 형사입건 했다.
인터넷 침해사고 발생시, 해커와 더불어 피해 업체의 보안담당자를 형사 입건한 것은 처음이다.'정보통신 서비스 제공자 등이 개인정보를 취급할 때는 개인 정보의 분실 및 도난 등을 방지하기 위해 기술적ㆍ관리적 조치를 해야 한다'는 정보통신망이용에 관한 법률을 위반했다는 이유에서다.
사이버수사대 관계자는 "관련 법률에 따르면 각 업체의 보안담당자는 인터넷 침해 사고에 대비해 개인 고객 정보를 암호화 시키거나 차단 시스템을 만드는 등의 보호 노력을 기울여야 한다"며 "이번 사례는 보안담당자의 임무 소홀에 따른 법적 책임을 묻는 첫 케이스"라고 설명했다.
하지만 경찰의 이 같은 방침에 대해 보안업계가 강력 반발하고 있다. 보안 사고의 법적 책임을 업체의 일개 보안담당자에게 묻는다는 것은 상식 밖의 처사란 입장이다.
안철수연구소 관계자는"보안 문제 해결을 위한 선결과제는 보안담당자에게 법적 잣대를 적용하는 것이 아니라, 인터넷 사용자들의 전반적인 의식 수준을 끌어올리는 것"이라고 지적했다. 스마트폰과 소셜네트워크, 이메일 등 정보기술(IT)의 활용 범위가 넓어지는 상황에서 보안담당자에 대한 형사 처벌은 근본적인 해결책이 될 수 없다는 설명이다.
소프트웨어 개발 전문 업체인 이스트소프트 관계자도 "보안에 대한 최고경영자(CEO)의 의식이 바뀌지 않고, 투자가 이루어지지 않는 상황에서 보안담당자의 역할은 한계가 있다"며 "회사가 아닌 보안담당자에게만 법적 책임을 묻는다는 것은 가혹하다"고 비판했다.
이와 관련, 방송통신위원회와 한국인터넷진흥원이 2,300개 업체(종사자 5인 이상)를 대상으로 분석한 '2009 정보보호 실태조사'에 따르면 지난해 정보보호를 위한 투자를 한 푼도 안 한 기업은 전년대비 19.1% 포인트 증가한 63.6%에 달해 기업들의 정보보호에 대한 인식 개선은 뒷걸음치는 것으로 나타났다.
한국정보보호학회장인 임종인 고려대 교수는 "정보 유출 책임을 보안담당자에게만 국한 시키는 것은 문제가 있다"며 "CEO나 회사에 책임을 부과하는 것도 기업들의 보안 의식을 끌어올릴 수 있는 현실적인 방안이 될 수 있을 것"이라고 조언했다.
허재경 기자 ricky@hk.co.kr
기사 URL이 복사되었습니다.
댓글0