옥션이나 교과부의 정보유출은 인터넷을 통해 정보가 유출된 반면 GS칼텍스 측은 "온라인을 통해 개인정보가 유출된 증거는 발견되지 않았다"고 밝혔다. 이에 따라 전문가들은 외부 해킹에 따른 것이 아니라 내부자가 고의로 정보를 유출했을 가능성이 더 큰 것으로 보고 있다.
보안업체 킵스랩의 백승호 대표는 "회사 측이 해킹 차단 장치를 설치해 고객명단을 따로 관리했다고 밝힌만큼 외부 해킹 가능성은 낮아 보인다"며 "더구나 데이터베이스(DB) 형태로 서버에 저장된 개인 정보를 백업할 때에도 이를 엑셀 파일로 변환해 CD에 저장하는 경우는 거의 없다"고 분석했다.
또 DVD와 함께 발견된 다른 CD에는 고객명단의 일부만 발췌돼 있어 개인정보를 유출한 당사자가 판매를 위한 일종의 홍보용 샘플 CD로 만들었을 가능성도 배제할 수 없다.
이에 따라 경찰도 일단 회사 내부자를 용의선상에 올려두고 수사를 진행하고 있다. 회사 측에 따르면 개인정보 DB에 접근할 수 있는 인력은 본사 직원과 위탁업체 직원을 포함해 총 12명. 경찰은 회사 서버의 하드디스크를 압수해 CD에 복사할 때 남을 수 있는 전산기록도 함께 조사하고 있다.
이와 관련해 일각에서는 이번에 유출된 자료가 누구나 열어볼 수 있는 엑셀 파일 형식이었다는 점에서 GS칼텍스 측이 서버에 있는 고객명단을 암호화(인코딩)하지 않았거나, 내부직원이 서버에서 암호를 해제해(디코딩) CD에 내려받기를 했을 가능성도 높은 것으로 추정하고 있다.
만약 이것이 사실로 밝혀진다면 GS칼텍스는 고객정보에 대한 관리부실 책임을 면치 못할 것으로 보인다. 현행 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따르면 고객정보를 다루는 사업자는 보안규정에 따라 별도의 고객정보 관리책임자를 두고 보안감독을 맡겨야 하며, 개인정보가 불법 유출되면 행위자와 함께 사업자도 처벌 받도록 돼 있다.
따라서 고객정보 관리자는 본사 직원이나 용역업체 직원들이 서버에 접근할 때 정보유출이 가능한 CD 등 외부 저장장치를 소지할 수 없도록 통제할 의무가 있다. 실제로 일본의 야후재팬의 경우 서버 관리자는 물론 콜센터 직원까지도 CD와 노트북은 물론 휴대전화를 가지고 근무장에 들어가지 못하도록 몸수색을 받을 만큼 내부자를 대상으로 하는 개인정보 보호에 철저하다.
이에 대해 GS칼텍스 관계자는 "서버 암호는 계속 바뀌기 때문에 용역업체 직원들이 보수를 위해 서버에 접근할 때마다 관리책임자가 참관해 항상 지켜보지는 않는다"고 말했다. 다시 말해 용역업체 직원이 어떤 식으로든 암호를 알아냈다면 외부 저장장치로 이를 다운로드받을 수 있는 허점이 생길 수 있는 것이다.
한국정보보호진흥원 박광진 단장은 "미국의 최신통계에 따르면 전체 정보유출의 70%가 내부자에 의한 것으로 드러났다"며 "외부 해킹뿐만 아니라 내부 직원들에 대한 보안유출 관리가 더 시급하다"고 지적했다.
김상운기자 sukim@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
-
- 추천해요
- 개
