'탈탈 털린 개인정보'...국회 과방위 국정감사 '사이버 보안' 이슈

17일 열린 국회 과학기술정보방송통신위원회 국정감사에서는 사이버 보안 관련 이슈가 화두로 떠올랐다.

과방위 소속 여야 의원들은 이날 과학기술정보통신부 소관 5개 진흥원을 대상으로 한 국정감사에서 기업들의 개인정보 유출사고를 비롯해 사물인터넷(IoT) 보안, 해킹 등 보안 관련 현안을 지적했다.
더불어민주당 박홍근 의원이 이날 한국인터넷진흥원(KISA)로부터 제출받은 지난해부터 올해 8월까지 '개인정보유출 신고 접수현황'에 따르면, 7개 기업은 정보보호관리체계(ISMS) 인증을 받고도 개인정보 유출사고를 낸 것으로 확인됐다.

ISMS인증을 받고도 개인정보가 유출된 기업은 ▲예스24주식회사 ▲아시아나항공 ▲(주)한빛소프트 ▲인터파크 ▲주식회사 씨제이헬로비전 ▲주식회사 위메프 ▲LG유플러스 등이다.

그리고 ISMS 미인증 개인정보유출기업은 ▲SK텔레콤 ▲한국방송공사(KBS) ▲한국피자헛 ▲이스타항공 주식회사 ▲삼성전자서비스 등이다.

유출 경로는 '해킹'이 26건으로 가장 많았다. '홈페이지 리뉴얼에 따른 사고' 8건, '내부 직원에 의한 유출' 5건이 뒤를 이었다. 나머지 29건은 사고발생 자체를 인지하지 못했으며, 유출 경로 파악도 사실상 불가능한 것으로 전해졌다.
특히 SK텔레콤과 LG유플러스는 내부직원이 흥신소에 개인정보를 불법으로 유출한 것으로 드러났다. 이에 국민 대다수의 개인정보를 보유한 통신 대기업의 개인정보 관리가 매우 허술하다는 지적을 받았다.

인터넷 쇼핑몰 '인터파크'는 ISMS와 PIMS 인증 두 가지 모두 받았음에도 개인정보 유출사고가 발생해 인증제도 자체가 유명무실하다고 지적됐다.

자유한국당 김성태 의원은 "최근 5년간 160여개에 달하는 기업에서 개인정보 5300만개가 유출됐다"면서 "더 심각한 것은 유출사고 116건 중 23건은 유출정보도 파악되지 않는다"고 지적했다.

이에 대해 박정호 KISA 부원장은 "유출사고가 반복되면 인증을 취소하는 것도 규정에 있다"며 "(재인증) 강화 방안에 대해 관계부처와 논의하겠다"고 답했다.

신용현 국민의당 의원은 최근 IP카메라 해킹사고로 피해자들의 사생활이 온라인에 유포된 사건을 거론하며 IoT 기기에 대한 보안 문제를 꼬집었다.

이에 박 부원장은 "IoT 보안문제는 제조사뿐 아니라, 사용자의 인식도 중요하다"며 "(제조사는) 보안내재 기법을 통해서 IoT를 개발해야 하고, 사용자는 초기에 설정된 패스워드를 변경해야 한다. 이 부분을 조화롭게 융화해 (해결)해야겠다"고 말했다.

한편, 검찰은 최근 세계 최대 가상화폐 거래소 '빗썸'에 대한 해킹을 북한 소행이라고 잠정 결론 내렸지만, 이를 조사한 KISA는 단정 짓기 어렵다는 입장이다.

빗썸이 올해 6월 수시채용 방식으로 직원을 선발했는데, 해커가 입사지원서에 악성코드를 심은 사건이 발생했다.

e메일을 열어본 직원의 PC에 담겨 있던 고객 3만1000명의 개인정보와 500억 원 상당의 가상화폐 계좌가 해커의 손에 넘어갔고, 해커는 이를 풀어주는 대가로 수 억원을 요구했다.

현재 검찰이 KISA와 방송통신위원회에 공조를 요청해 해킹범죄에 대한 정보를 수집하고 있다.


라영철 기자 lycla@g-enews.com