- 구태언 행복마루 변호사, 개인정보 취급 않는 기업도 정보보호 투자 강조

[디지털데일리 이민형기자] “최근 발생한 대부분의 보안사고들이 ‘개인정보 유출’을 위해 시도됐다고 생각하는 것은 매우 위험한 생각입니다. 뒤집어서 개인정보를 취급하지 않는 기업은 보안사고를 당하지 않는다는 보장을 할 수 없다는 것이죠”

IT전문 법률사무소 행복마루의 구태언 변호사는 기업이 지켜야 하는 정보가 ‘고객정보’에 국한되지 않는다고 강조했다. 고객정보만큼 중요한 것이 기밀정보라는 점에서, 기업이 개인정보 중심의 정보보호 정책 수립에 경도되는 현상을 경계할 것을 지적했다.

구 변호사는 “최근에 일어나고 있는 일련의 보안사고가 ‘개인정보 유출’에만 해당되는 것처럼 보이는 것은 정보통신서비스제공자가 개인정보 유출사고를 당했을 경우 반드시 신고하도록 돼 있기 때문”이라고 운을 뗐다.

정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 48조에 의하면 침해사고가 발생한 정보통신서비스사업자는 관련기관에 반드시 신고를 하게 돼 있다.

반면에 정보통신서비스사업자가 아닌 일반 생산직군의 경우 침해사고가 발생해도 신고해야할 의무가 없기 때문에 보안사고가 일어나지 않는 것처럼 보이는 것이라는 주장이다. 작년 9월 말 시행된 개인정보보호법 역시 마찬가지다.

구 변호사는 “고객정보를 취급하지 않는 기업들 중 일부가 외부로부터 해킹을 당했어도 쉬쉬하며 넘어가거나, 아예 인지하지 못하는 경우도 많은 것으로 알고 있다”며 “이런일은 보안에 투자할 여력이 없는 중소기업에서 많이 나타난다”고 설명했다.

실제 국가정보원의 집계를 보면 2005년부터 2011년까지 전체 기술 유출 발생건수 264건 가운데 중소기업이 141건으로 전체의 절반 이상을 차지했다. 대기업은 54건으로 훨씬 적다.

구 변호사는 “가장 안전하게 보관되는 대기업의 고객정보가 유출되는 상황에서 중소기업의 정보를 빼낸다는 것이 해커의 입장에서 얼마나 쉬운 일이겠는가”라고 반문하며 “이를 막기 위한 첫 발은 바로 기업 최고경영자(CEO)의 보인인식 변화”라고 강조했다.

그가 말하는 CEO의 보안인식의 변화는 이러하다. 기업의 재정적인 위기는 CEO와 직원들이 힘을 모아 해결할 수 있지만 개인정보 유출, 기업 기밀정보 유출은 돌이킬 수 없다. 기업 존망에 직접적인 영향을 미치는 부분이 바로 보안이라는 점을 CEO가 스스로 깨닿고 투자를 아끼지 않아야 한다는 것이 그의 주장이다.

구 변호사는 “개인정보를 취급하지 않는 기업들도 보안만큼은 투자를 아끼지 말아야 한다”며 “오히려 첨단기술을 가지고 있는 중소기업들이 개인정보를 취급하는 기업들보다 국가, 사회적 손실을 가져올 수 있다”고 말했다.

<이민형 기자>kiku@ddaily.co.kr