유명 백화점에서 카드결제를 할 때 사용하는 판매시점관리(POS) 단말기와 개인휴대단말기(PDA)의 보안에 허점이 있다는 사실이 얼마전 보도됐다. 무선랜을 떠다니는 정보들이 해킹에 무방비 상태로 노출된다는 것이다.
널리 알려져 있듯, POS와 PDA 등은 무선랜 구간을 통해 결제 정보를 주고 받는다. 그런데 시중에 돌아다니는 해킹툴을 이용하면 무선랜 구간에서 오가는 고객 정보를 금새 알아낼 수 있다는 것이 최근 불거진 '무선랜 보안 사태'의 핵심이다. 무선랜 인증체계의 보안이 취약할 뿐만 아니라 POS나 PDA 단말기 등에 탑재되는 소프트웨어(SW)와 무선랜카드에 보안 기능이 제대로 들어있지 않기 때문이다.
문제는 여기서 발생한다. 현재 대부분의 POS나 PDA는 구형 단말기가 대부분이어서 보안을 강화하기 위해서는 단말기 자체를 교체해야 하기 때문이다. 백화점이나 할인점마다 적게는 수십개 많게는 수백개 이상의 단말기 교체가 필요하다는 결론이 나온다.
정통부 방침을 전달받은 유통점들이 고민에 빠져 있는 것은 바로 이 때문이다. 적절한 무선랜 보안 조치를 하지 않으면 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 위반으로 1천만원 이하의 과태료를 물어야 한다.
기자는 업체들의 반응을 살펴보기 위해 몇 군데 해당 유통업체에 전화를 했다. 전산실에서 근무한다는 담당자는 "PDA 한 대당 100만원에 달한다"며 "수십대 이상의 단말기를 교체하느니 차라리 과태료를 물겠다는 잠정적인 결론을 내렸다"고 말했다.
또 다른 할인점에 문의를 했다. 개인정보관리책임자라고 밝힌 담당자는 "무선랜이 보안에 취약하다는 내용은 언뜻 들었지만, 회사 측에서 어떤 조치를 취할 지는 아직 결정하지 않았다"고 말했다. 한 유통업체 관계자는 "무선랜 보안이 무엇인지 전혀 모른다"며 기자에게 설명해 달라고 되묻기까지 했다.
정통부 공문에 따르면 10월 9일부터 23일까지 각 유통업체의 무선랜 보안 현황 조사를 끝내야 한다. 현황을 알아보기 위해 정통부 관계자에게 전화를 하자 담당자는 "무선랜 보안 현황 및 향후 암호화 조치 계획을 보내온 유통업체가 소수일 뿐만 아니라 유통업체의 기밀 사항중 하나라 공개하기는 어렵다"는 답변을 내놓았다.
결국 소비자 개인 정보 유출이라는 중대 사안을 놓고도 유통업체는 주판알을 굴리며 피할 궁리를 하고 있으며, 이를 감시해야 할 정부는 소극적인 대처로 일관하는 것이다.
기자는 무선랜 보안 사항을 취재하며 몇 가지 안타까운 마음이 들었다. 첫번째로 백화점 및 유통사들의 '모럴해저드(도덕적 해이)'가 심각한 수위에 이르렀다는 점이다. 유통업체를 이용하는 소비자 개인 정보의 가치는 교체비용 및 과태료를 저울질하는 '주판알 굴리기' 성질의 것이 아니다.
무엇보다 개인 정보 유출 피해가 줄을 잇는다면 결국 백화점과 유통업체는 '신뢰도'가 땅에 떨어질 뿐 아니라 브랜드 이미지에도 심각한 타격을 입을 것이다. 코 앞에 닥친 '비용 발생'에 눈이 멀어 중요한 가치를 간과하고 있는 것이다.
강제성이 결여된 법 제도 역시 문제로 지적할 수 있다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제67조 제2항 제8의 2'를 보면 정보통신서비스 제공자 등은 이용자의 개인정보를 취급할 때 개인 정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 조치를 해야 하며, 이를 어길 경우 1천만원 이하의 과태료를 물어야 한다고 명시돼 있다.
무선랜 보안과 같이 해당 업체에 상당한 비용이 수반되는 경우에 1천만원의 과태료는 강제력을 발휘하기엔 턱없이 부족하다. 더군다나 1천만원 '이하'이므로 실제 무선랜 보안 조치를 하지 않은 백화점 및 유통업체가 물어야 하는 과태료는 1천만원에 훨씬 못미칠 경우가 태반일 것이다.
일차적으로는 모럴해저드에 빠진 업체가 문제일 테지만 법망을 교묘히 빠져나갈 수 있도록 틈을 보인 법 제도 자체를 정비하는 것도 절실하다는 것을 단적으로 보여주는 사례다.
보안은 더 이상 '선택'의 문제가 아닌 '필수조건'이다. 각종 해킹 사고가 발발한 뒤 막기에 급급한 지금의 사후약방문식 대책은 보안이 아직도 '선택'의 문제에 머물러 있다는 방증이다.
'제도'는 '사고'를 지배한다. 개인정보 보호가 중요하다는 것을 인식하도록 하는 데에는 제도의 정비가 선행돼야 한다. 튼튼한 법망 안에서 개인 정보의 가치가 중요하다는 사회적 인식이 자연스레 조성될 수 있기 때문이다.
고객의 개인 정보를 중요시하는 기업이 장기전에 유리하다는 기본적인 사실을 백화점과 유통업체가 하루 빨리 깨닫기를 바란다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기