정보보호에 민감한 일본에서도 최근 대량의 고객정보가 유출되는 사고가 발생해 정부 당국이 보안 강화에 나섰다.
특히 보안정책이 상대적으로 까다로운 금융권에서 발생한 사고인데다, 고객데이터베이스(DB) 접근권한이 있는 IT관리자에 의해 정보가 유출돼 일본 금융권은 정보관리자 단속에 고삐를 죄고 있다.
이날 방한한 츠구노리 스가와라 포티넷재팬 마케팅 수석 매니저는 "최근 일본에서도 대량의 개인정보유출 사고가 잇따라 발생해 긴장상태"라며 "특히 소득정보 등 민감한 개인정보가 유출·악용돼 사회 이슈로 불거지고 있다"고 설명했다.
◆'슈퍼 파워' 가진 IT관리자 소행으로 드러나
최근 일본에서는 AIG자회사인 보험사 아리코재팬이 13만건에 해당하는 개인정보를 누설, 2천200개의 신용카드가 타인에 의해 사용돼 관련 기관이 조사에 착수했다.
현재까지 데이터가 어떤 경유로 유출됐는지 원인 분석이 되지 않은 상태다.
또 지난 4월에는 미쯔비시 UFJ 증권사의 IT관리자가 150만건의 개인정보를 빼내 이중 5만건의 정보를 부동산 거래회사 등에 한화 약 460만원을 받고 판 사건이 있었다.
츠구노리 스가와라 수석 매니저는 "정보가 유출된 고객들에게 부동산 회사 및 상품거래 회사로부터 한밤중에 전화가 걸려와 조만간 IPO하는 회사가 있으니 투자하라는 등의 전화가 빗발쳐 수상하게 여긴 고객들의 항의로 사건의 꼬리가 잡혔다"며 "결국 고금리의 은행빚을 견디다 못한 증권사 IT관리자의 소행으로 드러났다"고 말했다.
미쯔비시 UFJ 증권사는 사고에 대한 보상으로 정보가 유출된 5만명의 피해자 개인에게 각자 14만원 상당의 선불카드를 지불했는데, 총 지불액은 약 70억원에 이른 것으로 확인됐다.
관련업계는 개인정보유출로 인한 신뢰도 하락과 기회비용 측면을 감안할 때 피해액은 이보다 훨씬 클 것으로 전망하고 있다.
특히 이 사건의 경우 해킹에 의한 외부자 소행이 아닌, 정당한 DB접근권이 있는 내부자 소행으로 밝혀져 DB보안에 대한 강화된 정책 적용이 필요하다는 지적이다.
실제 미쯔비시 UFJ 증권의 고객 정보가 담긴 DB에 접근할 수 있는 권한이 있는 IT관리자는 총 5명에 불과했다.
포티넷코리아 이상준 지사장은 "내일 해고된다면 회사의 기밀 자료를 유출할 의향이 있냐는 질문에 IT관리자의 88%가 긍정적으로 답변했다는 충격적인 조사결과가 있다"며 "각 기관은 DB접근권한이 있는 '슈퍼 파워'를 가진 관리자를 견제할 수 있는 보안정책을 수립해야 한다"고 강조했다.
그는 이어 "DB유출 사고를 보면 내부자 소행인 경우가 훨씬 많다"며 "DB보안 제품을 설치해 이상 징후를 모니터링 하고, 사후 로그분석을 통해 감사할 수 있도록 적절한 조치를 취하는 것이 시급하다"고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기