[기자수첩] 기가 막힌 '보안 망각증'

"현대캐피탈·현대카드는 업계 처음으로 고객정보보호부문에 대한 ISO27001 인증을 획득했다고 19일 밝혔다. ISO27001은 국제표준화기구인 ISO가 제정한 정보보호관리시스템에 대한 국제표준이다. 위험관리·정보보안정책 등 11개 분야, 133개 항목을 검증해 인증을 부여하며 1개 항목이라도 부적합 평가를 받으면 인증을 받을 수 없다…(중략)."
　
2008년 10월 현대카드와 현대캐피탈은 이같은 보도자료를 내놨다. 당시 현대카드 관계자는 "개인정보 유출사고가 빈발하는 요즘 ISO인증을 획득한 것은 고객정보 수집, 활용, 관리 측면에서 철저한 보안이 이루어지고 있음을 입증한 것"이라고 강조했다. 그로부터 3년 후. 이 회사는 해킹으로 대량의 고객정보가 유출되는 사고를 당하고 말았다. 최고 권위의 보안인증도 결코 안전장치가 될 수 없음이 여실히 드러났다.
　
사건의 원인을 두고 분석도 다양하다. 서버관리가 취약했다거나 데이터 암호화의 부실, 심지어 내부 공모 가능성까지 거론된다. 그러나 분명한 것은 133개에 달하는 ISO의 까다로운 보안테스트를 거친 시스템이 이토록 허무하게 뚫린 것은 관리자들의 보안의식과 내부통제시스템 자체가 겉보기와 달리 허술했다는 뜻이다.
　
24시간 운영되는 보안관제시스템이 침묵하고 2, 3중의 안전장치가 흔적도 없이 뚫린 해킹사건을 회사는 2개월 가까이 모르고 있었다니 기가 찰 노릇이다. 미지의 허점을 파고드는데 성공한 해커는 40만명의 고객정보를 손에 쥐고 득의만만했을 것이다.

사건 발생 두달 전인 지난해 12월 금감원의 종합검사가 있었다는데 점검하는 시늉만 했나보다. 보안에 신경쓴다는 현대캐피탈이 이 정도면 다른 금융업체들의 사정은 안봐도 뻔하다. 실제 투자여력이 없는 군소업체는 사실상 해킹에 무방비 상태라는 게 전문가들의 공통된 지적이다.
　
보안수법은 갈수록 지능화되고 있다. 기업들도 보안에 대한 인식을 근본적으로 바꿔야 한다. 보안은 결코 타협의 대상이 아니다. 사태가 잠잠해지면 잊어버리는 '망각증'은 또다른 재앙을 부른다. 금융당국은 철저한 원인조사와 실태파악을 통해 확실한 재발방지책과 보안기준을 마련해야 할 것이다.