개인정보유출 66% '안전조치 미흡'… "무료 시스템으로도 방지 가능"

차윤호 한국인터넷진흥원 개인정보조사단장/사진제공=한국인터넷진흥원

개인정보 유출사고를 일으킨 기업들 중 66%가 안전조치를 미흡하게 했던 것으로 나타났다. 안전조치를 미흡하게 했던 기업들 중 25%는 개인정보를 저장하거나 전송하는 경우 암호화 조치도 하지 않았던 것으로 드러났다.

7일 KISA(한국인터넷진흥원)의 2022년 개인정보보호위원회 공개 의결서 분석에 따르면 기업의 개인정보 유출사고 시 안전조치 미흡이 66%로 가장 높았다. 유출통지를 늦게 한 경우가 16%로 뒤를 이었고 개인정보 미파기(10%), 개인정보 제공 미동의(9%) 순이었다.

안전조치 의무위반 유형으로는 개인정보 저장·전송 시 암호화를 하지 않은 경우가 25%로 가장 높았고 접속기록 보관·점검을 제대로 하지 않은 경우가 22%였다. 공개·유출 방지 조치를 하지 않은 경우는 19%였고 접근권한 관리 소홀(15%), 안전한 접속·인증 수단 미확보(13%)한 경우도 있었다.

차윤호 KISA 개인정보조사단장은 "개인정보 유출사고 시 기업의 의무위반 판단기준으로 △사고 당시 정보보안 기술 수준 △업종·영업규모와 전체적인 보안조치 내용 △정보보안에 필요한 경제적 비용 및 효용 정도 △해킹 기술 수준과 보안기술 발전 정도에 따른 피해발생 회피 가능성 △수집한 개인정보 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등"이라고 설명했다.

이어 "판단기준에서 개인정보처리시스템은 데이터베이스시스템 전체를 의미한다. 이는 데이터베이스와 연동돼 개인정보의 처리 과정에 관여하는 웹서버 등을 포함한다"며 "외부 공격에 합리적인 기대수준에서 대응이 가능하면 침입차단·탐지 시스템은 반드시 유료일 필요는 없다"고 했다.

차 단장은 "데이터베이스와 연동·처리하는 웹서버 등도 보호조치 대상에 포함해야 한다"며 "지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 개선조치를 실시해야 한다"고 말했다.

이어 "이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄져야 한다"며 "사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 해야 한다. 보안에 비용 투자가 어려운 영세 중소기업의 경우 KISA 홈페이지에서 컨설팅 지원 사업을 신청하면 된다"고 덧붙였다.

이정현 기자 goronie@mt.co.kr