사이버 보안
세계 곳곳에서 개인정보 유출 사고가 속출하고 있다. 세계 최대의 정보 보안 기업인 시만텍(Symantec)에 따르면, 2013년 전 세계에서 유출된 개인정보는 2012년 대비 6배 증가한 5억 5,200만 건에 달한다.
일본도 개인정보 유출에서 더 이상 자유롭지 않다. 일본인들은 신용카드보다는 현금 사용을 선호하고 온라인보다는 오프라인 쇼핑을 주로 하므로 개인정보 유출 가능성이 상대적으로 적었다. 그러한 일본에서도 최근 대형 정보 유출 사건이 발생해 논란이 되고 있다.
화제의 주인공은 우리나라에서도 호비 시리즈로 유명한 통신교육 대기업 ‘베네세홀딩스(ベネッセ)’다.
베네세의 개인정보 유출 사건은 유출된 정보의 규모에서뿐만 아니라 아동의 개인정보가 거래됐다는 점에서 많은 일본인을 충격에 빠뜨렸다. 고객 정보 관리를 위해 외부업체에서 파견근무했던 시스템 엔지니어인 용의자는, 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이터를 팔아 400만 엔의 이익을 챙겼다. 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월일, 보호자 이름, 주소 및 전화번호 등이 유출됐는데, 흘러나간 데이터는 여러 업자를 통해 영어회화 학원, 소프트웨어개발 기업 등에 팔려나갔다.
아동의 정보는 상대적으로 사용할 수 있는 기간이 길고, 학원 등 교육업계에서 지속적으로 수요가 발생하고 있기 때문에 고가에 거래되는데, 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다.
정보 유출로 사죄하고 있는 베네세 회장.
일본에는 주민등록번호가 없고, 유출된 정보가 우리나라 카드 3사의 정보 유출 사건처럼 은행 계좌나 카드 번호 등 금융 정보도 아니다. 그럼에도 불구하고 부모로선 소중한 자녀의 정보가 거래됐다니 노심초사할 수밖에 없는 상황이다. 고객의 거센 비판에 당면하자, 당초 금전적 보상을 하지 않겠다던 베네세는 피해 고객들에게 공식적으로 사과하면서 총 200억 엔을 보상하겠다고 입장을 바꾸기도 했다.
대규모 보상 정책과 대표이사의 사임에도 불구하고 한 번 무너진 소비자의 신뢰는 좀처럼 회복되지 않았다. 결국 베네세는 2014년 4~6월 136억 엔의 적자를 기록했다. 전년 동기에는 26억 엔의 흑자를 기록했고, 예상 순이익이 전 분기 대비 7% 증가한 213억 엔이었다는 점을 감안하면 정보 유출에 따른 신뢰도 하락이 기업에 미친 영향이 어느 정도인지 짐작할 수 있다.
이 사건의 여파는 일개 기업의 신뢰성 하락, 정보 유출 책임이 있는 관리회사 전 직원의 체포에만 그치지 않았다. 일본 현지 신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나, 소프트웨어 업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 정보 유출의 가능성을 경고하는 기사를 연일 보도하고 있다. 이렇게 사건의 후폭풍이 커져가는 이유는 바야흐로 개인정보가 넘치는 빅데이터 시대에 돌입했기 때문이다.
일본은 2005년부터 10년째 개인정보 보호법을 시행하고 있다. 이 법을 근거로 한 부처별 가이드라인을 중요 참고자료로 삼아 배상액, 과태료가 결정됨에 따라 정보 보안의 사각지대에 있던 학원, 지방 병원까지 정보 보안 수준을 높이고 있다. 원칙적으로 이 법에서는 개인정보를 본인의 동의 없이 제3자에게 제공하는 것을 금지하고 있다. 그러나 웹사이트 등에 공지할 경우 동의를 얻지 않아도 되는 기피 조항이 있는 등 법망을 빠져나갈 수 있는 맹점이 있어서 당사자가 모르는 채 개인정보가 팔리는 경우가 많을 것으로 추정된다.
일본 네트워크보안협회(Japan Network Security Association, JINSA)에 따르면, 2012년 개인정보 유출 사고는 총 2,357건으로 처음으로 2,000건을 초과했다. 이는 2011년 대비 806건 증가한 것이다. 정보 유출 인원수는 345만 명 증가한 972만 명이었다. 이에 따라 피해액도 전년 대비 332억 엔 증가한 2,132억 6,405만 엔을 기록했다.
정보 유출 사고 건수가 증가하는 추세인 데다 베네세 사건의 여파로 사회 전반에 불신풍조가 확산됨에 따라 경제산업성은 2014년 10월에 개인정보 보호법을 개정할 계획을 밝혔다. 구체적으로 기업이 개인정보 관리를 외부업체에 위탁할 경우, 위탁업체의 재위탁을 금지하는 등 기업의 정보 관리를 강화하는 방향으로 법 개정이 이뤄질 것으로 보인다. 또한 개인정보 관리 위탁 계약 시 정보가 유출됐을 때 손해배상 책임을 계약서에 명시하고, 위탁업체 직원의 개인정보 접근 기록을 정기적으로 모니터링하는 등 관리를 강화할 예정이다.
경제산업성 산하 정보처리 추진기구(IPA)에서 만드는 지침은 연내 개정될 것으로 보이는데, 이 지침에는 개인정보가 저장된 PC에 USB 메모리 등을 연결해서 정보를 빼낼 수 없도록 내부 정보의 부정 유출 방지 대책도 규정할 것으로 보인다.
베네세 사건을 계기로 정보 보안 수준 개선에 대한 국민의 요구가 거세졌을 뿐 아니라 개인정보 보호를 강화하는 방향으로 법이 개정될 것으로 보임에 따라, 일본 정보 보안 시장은 크게 확대될 것으로 전망된다. 더욱이 일본에서는 빅데이터 활용을 위한 개인정보 보호법 개정 초안이 2014년 6월 마련되어 내년에 정기국회에 상정될 예정인 만큼 빅데이터 시대가 성큼 다가온 것으로 보인다.
IT 전문 조사기관인 IDC 재팬(IDC JAPAN)에 따르면, 정보 보안 제품 및 서비스 시장을 합친 일본의 2013년 정보 보안 시장 규모는 전년 대비 6.9% 증가한 8,519억 엔을 기록했고, 2018년까지 연평균 4.19% 성장해 1조 414억 엔에 달할 것으로 전망된다.
<출처 IDC재팬>
보안 제품 시장에서는 특히 클라우드(Cloud)와 서비스 모바일 기기 사용이 확대되고, 점점 교묘해지는 표적형 사이버 공격이 증가해 보안 소프트웨어, IDS/IPS(Intrusion Detection System / Intrusion Protection System), 차세대 방화벽을 포함해 심층 방어가 가능한 UT
M(Unified Threat Management) 제품이 정보 보안 시장의 수요를 견인할 것으로 추측된다.
보안서비스 시장에서는 교묘해지는 사이버 공격에 대응하기 위해 심층방어 기능을 갖춘 제품에 대한 소비자의 수요 역시 높아졌다. 따라서 설계부터 운영에 이르기까지 다양한 분야에 고도의 전문지식이 필요해져 보안 전문 서비스 아웃소싱 시장이 점점 커질 것으로 보이는데, 전문가들은 특히 클라우드에 의한 운영 관리서비스가 확대될 것으로 전망한다.
보안 시장의 확대에는 ‘마이넘버법’도 일조할 것 같다. 일본에서는 2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 ‘마이넘버법’이 제정됐다. 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터는 본격적으로 사용할 계획이므로 보안 시스템에 대한 수요는 커질 수밖에 없다.
앞으로 6년 후인 2020년에는 전 세계적으로 500억 개의 기기가 인터넷으로 연결된다고 한다. 그렇게 되면 웨어러블 기기를 비롯해 각종 모바일 기기를 통해 개인의 사소한 행동이나 생각 등 모든 사적인 정보가 실시간으로 파악될 것이다. 또 이런 정보들은 빅데이터를 통해 수집되어 새로운 시장을 창출할 기회로 활용될 것이다. 새롭게 창출되는 시장을 생각하기에 앞서 가장 중요한 것은 기업과 개인 간의 신뢰를 어떻게 확보할 것이냐의 문제다. 그 중심에 첨단 보안 제품과 서비스가 있다.