[41] 카드사 고객정보 유출에 따른 작은 생각 - 돈 안드는 보안은 없다.

주요 카드사의 정보가 외부 직원에 의해 유출된 사고가 일어났다.

정부에서는 개인정보 유출 대책을 발표하였다.

다음과 같은 사항에 대한 의문점이 들었다.

 

1. 추가 유출은 없었다?

디지털 자료 특성 상 복사한다고 해도 흔적이 남지 않는다.

그런데도 전혀 추가 유출이 없었다고 할 수 있을까?

그렇게 믿고 싶하는 것은 아닐까?

 

2. 기본적인 보안이 준수되지 않았다?

인적인 보안은 기술로 대응이 불가능하다.

다른 금융기관이라고 해도 발견되지 않은 것뿐이지 유출이 발생하지 않았다고 단언하는 것은 위험하다.

심사를 할때 기술적인 부분을 강조하는데 정작 문제는 다른 곳에 있었다.

유닉스 운영체제의 계정에 MD5가 위험해서 쓰네 않쓰네에 치중하는 고학력자(전문가가 아니라 고학년자)는 무엇이 중요한지 다시 생각해야 할 것이다.

 

3. 통제를 강화해서 개인정보 유통 시장을 없애겠다?

카드 번호와 유효기간 만으로 지불이 가능한 해외가맹점이나 피싱을 수행하는 범죄 집단도 통제할 수 있을까?

지금도 제대로 통제 못하고 있는데...

 

대책은 무엇이 있을까?

 

1. 근본적인 문제는 아웃소싱이다.

개발부터 운영까지 외부업체에 의존하는 것이 현실이다.

비용 절감이 가장 큰 이유다.

세상에 공짜 점심이 없듯 보안마저 외부인에게 의존하면서 보안을 운운하는 것은 모순이다.

 

2. 책임자는 없다.

누군가는 책임을 져야 한다. 지금까지 방치한 금융감독기관은 해산해야 한다.

의사결정을 하는 책임자도 문제지만 스스로 자기 역할을 하지 못한 직원도 잘못이기 때문이다.

잘 못된 관행이 묵인하는 것에 대한 책임을 져야 한다.

- 높은 보수를 받는 직업은 그에 따른 책임도 져야 한다.

 

또한 그동안 금융회사와 금융감독기관의 관계를 고려할때...

- 누군가 말처럼 앞에서는 서로 발차기하고 있지만 어깨동무하는 구조..

문제를 야기한 외주회사는 해산하야 경각심이 들 것이다.

전문성 없는 은행장을 낙하산으로 내려보낸 사람도 책임을 피할 수 없어야 할 것이다.

 

경제가 어렵고 질 좋은 일자리가 부족하다.

이번 사건은 값싼 아웃소싱의 어두운 면이다.

대책을 보면 아직도 근본적인 원인은 뒷전이고 당장의 위기만 넘어가려고 하는 것같다.

보안 솔류션을 도입은 끝이 아니라 시작이다.

출입자를 감시하기 위해서 CCTV를 설치한다고 해도 누군가는 모니터링을 해야 할 것아닌가?

세상에 돈 안드는 보안은 없다.

한 사람이 두세 사람 몫을 하는데 제대로 보안에 신경이나 쓰겠는가?

 

항상 사건이 나올때마나 한마디 하시는 고학력자(모 대학 교수님)도 TV에서 한 말씀하시고..

- 다행이 이번에는 북한 소행이라고 하지 않으셨다..^^

 

이번 사건으로 외부인력은 더 일하기 힘들어지고 보안업체에서는 솔류션을 더 팔것이고

그런다 한들 언젠가 터질 폭탄을 끌어안고 잠시 잊을 것이다.