사회복무요원이 국민의 개인정보를 무단 조회해 오남용한 사례가 발생했다.

해당 사회복무요원은 불법으로 조회한 정보를 바탕으로 여아살해를 모의했으며, 취득한 정보를 바탕으로 성착취 협박에 악용했다.

해당 사건으로 인해 병무청은 3일, 사회복무요원의 개인정보 취급업무 부여를 금지하는 복무관리지침 시행과 동시에 행정안전부와 함께 지침 위반여부에 대해 실태조사를 할 계획이라고 밝혔다.

도대체 어찌 이런 어처구니없는 일이 발생할 수 있을까? 이런 상황이 일어나게 된 현실에 국민들은 분노하고 공분하고 있다.

씁쓸하지만 정보시스템 설계자의 입장에서 보면, ‘개인정보 불법접근’은 일어날 수밖에 없는 사고였다. 과격하게 말하면 이미 수차례 발생했던 사고였고, 이번 기회에 크게 알려진 것뿐이다. 이렇게 악랄한 방식으로 활용될 줄은 몰랐지만 말이다.

정보처리시스템을 설계하면서 ‘개인의 도덕성에 전적으로 의존하는 것은 매우 위험한 일’ 이다.

선량하고 도덕적인 사람만이 시스템을 사용할 것이라고 가정하면서 시스템을 설계하는 것은 보안관점에서 있을 수 없는 일이다.

정보처리시스템을 설계할 때에는 ‘제로 트러스트’ 기반 아래에 적법한 절차를 거쳐 인증받은 사용자라 하더라도 해당사용자가 100% 맞지 않을 수는 있다는 가정 하에서 수행해야 한다.

개인정보는 금전적인 이익과 연결되는 경우가 많다.

출장을 떠난 배우자가 정말 출장 간 것이 맞는지 무선 기지국의 수신정보를 토대로 혹시나 서울한복판에 있는 것은 아닌지 궁금할 것이다. VIP 고객정보를 확보하고 싶은 사업자는 마케팅을 위해서 고액 종합부동산세 납부자의 명단을 얻고 싶을 것이다. 채무를 변제하지 않고 잠적한 사람의 최근 전입 신고한 집주소를 알고 싶을 것이다. 결혼할 배우자의 월 소득이 궁금할 것이다.

공공기관의 업무특성상 국민의 의료, 교육, 소득, 채무내역, 가족관계, 병역과 같은 개인정보를 보유하고 있다. 해당 정보는 유출될 경우 개인의 평판을 좌우할 수도 있을 정도로 민감한 정보이기도 하다.

세상에는 이러한 정보를 얻기 위해 수십만 원 정도는 기꺼이 지출할 의사를 가진 상당수의 사람들이 존재한다. 그리고 또 다른 사람들은 위험부담이 있음에도 불구하고 금전적 이득 혹은 개인적 이득 때문에 불법조회에 가담한다. 행정 민원서비스를 처리하는 사회복무요원과 같은 약한 고리를 공략할 방법은 이렇게 너무나도 많다.

일부 공공기관은 이러한 ‘대국민 서비스 시스템’에서 개인정보 오남용 혹은 부정사용이 발생할 것을 선제적으로 예측했다. 이를 방지하기 위해 ‘개인정보 통합관제 시스템’을 선도적으로 구축했다.

특히 보건복지부는 이미 10여 년 전부터 ‘개인정보 통합 관제센터’를 운영해왔다.

물론 ‘개인정보 통합 관제센터’를 설립하고 운영한다고 해서 오남용이 효과적으로 통제되지는 않는다.

필자의 센터운영 경험에 비추어 볼 때 끊임없이 새로운 사고 유형을 분석하고, 상시적인 모니터링과 더불어 개인정보 처리자에 대한 보안의식 고취 교육을 꾸준하게 진행해야만 한다.

위와 같은 노력에도 불구하고 개인정보 오남용 사례는 100% 완벽히 근절되지 않는다. 대국민 서비스 운영자는 매년 수천 명씩 바뀐다. 그 분들 중에서는 보안의식이 철저한 분들도 있지만, 아직은 긴장감이 떨어지는 분들도 계실 수밖에 없다.

‘대국민 서비스 시스템’에는 상시 잠재적인 위험이 존재하고 있다. 그렇기 때문에 ‘개인정보 통합 관제센터’는 개개인 또는 일원의 개인정보 오남용이 대형 보안사고로 번지기 전에 신속하게 발견, 사고의 확산을 막아내는 것이 주된 목표가 된다.

이번 사고가 ‘법의 심판을 받는 것’과 동시에, 이후 공공기관의 ‘대국민 서비스 시스템’을 설계할 때 데이터 오남용에 대한 상시적인 모니터링 및 분석 시스템 확대의 계기가 되기를 바란다.

[글. 이야리 공학박사 / 소만사 컨설팅 실장 / 명지전문대학 인터넷응용보안공학과 산업체 멘토]