디지털타임스

정부의 기업 보안관리 허점이 다시 한번 드러났다. 국내 대표적 인터넷 쇼핑몰인 인터파크에서 전체 회원의 절반에 해당하는 1030만명의 개인정보가 유출됐다. 2011년 네이트, 2014년 KB국민·NH농협·롯데카드, 같은 해 KT와 티몬에 이어 이번 인터파크까지 기업이 보유한 개인정보가 털리는 일이 반복되는 것은 근본적으로 정부의 기업 보안관리 체계에 문제가 있기 때문이다.

인터파크는 정부로부터 개인정보보호관리체계(PIMS)를 받은 기업이다. 정부는 2014년 8월 구 방송통신위원회의 개인정보관리체계(Person Information Management System, PIMS)와 행정자치부의 개인정보보호인증제(Personal Information Protection Level, PIPL)를 통폐합해 2016년 1월부터 개인정보보호관리체계(PIMS)를 시행하고 있다. 이 PIMS를 인터파크는 미래창조과학부 산하 한국인터넷진흥원으로부터 지난해 4월 30일 획득했다. 유효기간은 3년으로 2018년 4월 29일까지다.

보안 전문가들은 인터파크가 PIMS 규정을 제대로 지켰는지 의문을 제기하고 있다. 경찰은 인터파크 해킹에 해커가 다수의 인터파크 직원에게 무차별적으로 악성코드를 심은 메일을 보내는 지능형 지속가능 위협(Advanced Persistent Threat, APT) 수법을 쓴 것으로 추정하고 있다. APT는 이미 2011년 네이트 해킹 등에서 쓰인 공격으로 기본적인 해킹 수법으로 볼 수 있다. 이에 인터파크가 PIMS에서 규정한 내·외부 망만 제대로 분리했어도 쉽게 정보를 털리지는 않았을 것이라는 지적이다.

이에 대해 인터파크 측은 "대부분 1대의 PC에 소프트웨어를 통해 분리하는 논리적 망분리를 적용했고, 나머지 경우도 PC 2대를 물리적으로 분리하는 물리적 망분리를 적용했다"고 밝혔다. 아직 민관합동조사단의 조사결과가 나오지 않았지만 이 주장대로 인터파크가 망분리를 제대로 했다 해도 문제는 남는다. PIMS 규정에 따르면 개인정보처리시스템에 접근 가능한 개인정보 취급자의 인터넷 접속 또는 서비스는 제한해야 한다. 또 인터넷 접속은 침입차단시스템을 통해 통제해야 한다. 이 규정이 지켜졌다면 해커가 악성 이메일 첨부파일을 맨 처음 실행한 최초 접속자의 PC를 통해 침투했다 해도 다른 망에 있는 개인정보처리시스템에는 접근할 수 없어야 한다. 인터파크가 PIMS 규정을 제대로 지키지 않았다는 의심이 드는 이유다. 이 경우 정부는 인증관리의 부실 책임을 면하기 어렵다.

일각에서는 정부 보안인증 자체에 대한 무용론도 나온다. 보안사고를 예방하기는커녕 오히려 기업들에게 면죄부만 주고 있다는 것이다. 앞서 개인정보를 털린 KT, KB국민·NH농협·롯데카드 등도 모두 정부의 각종 보안인증을 획득한 기업들이다. 물론 보안인증은 일종의 예방접종으로 인증을 받았다고 해서 보안사고가 일어나지 않는다고 보장할 수는 없다.

보안인증은 가뜩이나 정보보호 투자에 인색한 기업들의 최소한의 내부 보안관리를 위해서라도 반드시 필요하다. 그러려면 인증이 형식적이어서는 안된다. 인증 문턱을 높이고, 인증 후에는 기업이 제대로 규정을 지키고 있는지 철저히 관리해야 한다. 인증의 목적을 지금처럼 보안사고 가능성을 최소화하는 데 둘 게 아니라, 보안사고 자체를 예방하는 수준으로 바꿀 필요도 있다. 차제에 국가 보안인증에 대한 전면적인 재검토를 요구한다.

< Copyrights ⓒ 디지털타임스 & dt.co.kr, 무단 전재 및 재배포 금지 >