"보안감사, 회계감사처럼 민간이 주도해야"

[김국배기자] "15년 동안 보안 감사는 이틀 정도 나왔습니다. 서류만 형식적으로 살펴보는 수준이죠. 국내 규정에 근거해서 제대로 된 보안 감사를 받아본 기억이 없어요."

페이게이트 이동산 이사는 보안 감사의 현실적 운영과 실효성 있는 제도 개선을 요구한다. 현재 운영중인 체제는 한계가 허점이 너무 크다는 이유에서다.

그는 전자금융거래 전반에 대해 보안 감사를 하는 금융감독원만 해도 인력 규모와 수준 면에서 개인정보를 취급하는 모든 기관을 감당하는데 한계가 많다고 지적한다.

그는 이 같은 상황을 타개하기 위해서는 회계감사처럼 민간에서 보안 감사를 할 수 있도록 길을 열어줘야 한다고 주장했다.

금융 개인정보를 취급하는 모든 기관은 신뢰할 수 있는 제3자로부터 정기적으로 보안감사를 받고 금감원은 보안감사 체계가 원활히 돌아가도록 생태계를 관리하는 역할을 해야 한다는 것이다.

특히 그는 최근 1억 건이 넘는 개인정보 유출 사태의 주범으로 꼽힌 코레아크레딧뷰로(KCB)를 예로 들며 "대규모 데이터가 흘러다니는 경로가 우선 감사 대상이 돼야 할 것"이라고 강조했다. "신용정보기관인 KCB는 수많은 신용카드 정보가 흘러다녔으나 금감원의 직접 검사 대상은 아니었다"는 지적이다.

그는 "강물의 물줄기처럼 대규모 데이터 유통 경로상의 기관들이 보안 감사를 받게 되면 자연스럽게 소규모 물줄기에 해당하는 곳들도 감사를 받게 될 것"이라고 설명했다.

그는 또한 보안기술 중 하나인 공인인증서에 매몰되는 것도 경계했다. 그는 "공인인증서도 전체 보안 시각에서 보면 여럿 중의 한 가지(one of them)"라며 "전체적인 보안성을 갖출 수 있는 매커니즘을 갖추는 것이 중요하다"고 말했다. "국내 환경에서만 통용되는 보안 감사 기준으로는 한계가 있고 세계적으로 통용되는 보안감사 제도를 도입하는 것이 필요하다"고 그는 역설했다.

김국배기자 vermeer@inews24.com