정부합동수사단은 17일 잇단 한국수력원자력 해킹 사건이 북한 소행이라는 중간수사결과를 발표했다. 국가 안보, 국민의 안전과 직결되는 원전이 사이버 공격에 노출돼 있다는 사실에 국민들은 상당한 충격을 받았다.
한수원은 2014년 지속가능보고서를 통해 2013년 4월부터 사내 업무망과 사외 인터넷망을 물리적으로 분리하여 사내 중요정보를 보호하고 있다고 발표한 바 있다. 이런 노력이 무색하게 범인은 이메일에 악성 코드를 심어 컴퓨터를 감염시킨 뒤 자료를 빼내는 초보적인 수법으로 한수원을 해킹했다.
기업의 사회적 책임에 대한 국제표준 ISO 26000은 이러한 보안 이슈를 다루는 조항을 두고 있다. 6조7항과 7조7항을 살펴보면 “소비자 보호를 위해 수집한 데이터를 보호하고 보안 시스템의 신뢰성을 제고”해야 한다고 명시하고 있다. 이러한 원칙이 깨질 때 소비자는 어떠한 손해를 입을까?
미래창조과학부가 발표한 자료에 따르면 2013년 사이버 범죄로 인한 국내 피해액은 750억원에 달한다. 보안업체 시만텍이 발표한 ‘노턴 보고서’에 따르면 2013년 전세계적인 사이버 범죄로 인한 직간접적인 피해액은 1130억달러다. 천문학적인 금액이다.
개인정보가 대량으로 유출된 시기에 보이스피싱이 급증했다는 미래창조과학부 조사결과를 참고할 때 기업의 개인정보유출과 사이버 범죄의 연관성이 있는 것으로 보인다. 국내 기업의 굵직한 개인정보 유출 사례를 보면 옥션 1080만명, 엔씨소프트 200만건, 신세계백화점 2000만건, GS칼텍스 1100만건, KB카드 5300만건, 롯데카드 2600만건, NH카드 2500만건 등 2008년부터 지금까지 1억 5천만건 이상의 개인정보가 유출됐다. 유출된 개인정보가 범죄에 악용됐을 소지가 다분하다.
이제 기업은 보안이슈를 단순히 리스크 관리 측면에서 바라봐서는 안된다. 개인정보보호를 위한 투자를 비용 취급하는 관행도 버려야 한다. 보안은 기업의 가장 중요한 이해관계자인 소비자에 대한 책임이자 동시에 사회적 책임을 다하기 위한 첫걸음이다.