허서홍 대표, 개인정보관리 인식 미흡 도마위
2천만명 고객 정보 보유... CISO 임원급 격상 필요
IT 투자액 대비 정보보호 투자 비율도 1.9% 불과
정보보호 투자 상대적으로 후순위될 가능성 높아
데이터 유출·사이버 공격 위협에 취약할 수 있어
최근 해킹 공격으로 약 9만 명의 고객 개인정보가 유출된 GS리테일이 정보보호최고책임자(CISO)를 임원급으로 두지 않은 것으로 드러났다. 자산 총액이 5조원 이상임에도 CISO를 임원급으로 지정하지 않은 것은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반 소지가 있다. 법 위반 여부는 과학기술정보통신부의 판단이 필요하지만, 현 상황에서는 위반 가능성이 높은 것으로 보인다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(제45조의3)에 따르면 자산 총액 5조원 이상 정보통신서비스 제공자는 임원급의 정보보호 최고책임자(CISO)를 지정하고, 과학기술정보통신부 장관에게 신고를 해야한다. CISO는 전무·상무(보)·이사·본부장·처장·임원 등 대내외적으로 인정될 만한 이사급 호칭을 사용해야 한다. 팀장·파트장·부장·차장·책임 등 임원이 아닌 일반 직원에게 부여되는 호칭을 사용하면 현행법 위반에 속한다. 만약 CISO를 임원급이 아닌 직급으로 지정하거나, 다른 업무를 겸임하도록 하면 법적 의무 위반으로 간주되며, 2000만~3000만원의 과태료가 부과될 수 있다. 이는 개인정보를 대규모로 수집, 관리하는 대기업들이 정보보호 역량을 강화하고, 사이버 공격으로부터 사용자 데이터를 보호하기 위한 법적 장치다.
15일 한국인터넷진흥원(KISA) 정보보호 공시를 분석한 결과, 지난해 말 기준 자산 총액 10조원이 넘는 GS리테일은 CISO를 부서장급인 '보안품질 센터장'에게 맡기고 있는 것으로 나타났다. GS리테일은 임원급 CISO 지정이 법적 의무인 기업에 해당하지만, 이를 지키지 않고 있는 것이다. GS리테일 측은 "현재 CISO는 실장으로서 임원급 조직레벨 업무 수행 중이다"며 "보안 관련 업무를 오랜 기간 수행해 온 전문가다"라고 말했다. CISO는 정보보호 또는 정보기술 분야의 석사학위 이상을 취득한 사람이거나, 학사학위를 취득한 사람으로서 관련 분야의 업무를 3년 이상 수행한 경력이 있는 사람이 자격을 갖춰야 한다.
한 과기부 관계자는 "GS리테일이 정보통신망법을 위반했는지 확인 중인 상황이다"고 말했다.
지난해 GS리테일의 정보보호 투자액은 35억원으로, 도매·소매업 분야에서 정보보호 투자 상위 7위를 차지했다. 하지만 정보기술(IT) 투자액 대비 정보보호 투자 비율도 1.9% 불과했다. 도매·소매업 정보보호 투자액 상위 10대 기업 중 가장 낮은 수준이었다. 정보보호 투자 비율은 IT 관련 투자에서 정보보호 부문이 차지하는 비율이다. 이 비율이 낮다는 것은 기업이 정보보호 분야에 대한 투자 우선순위를 상대적으로 낮게 두고 있다는 것을 의미한다. 이러한 경우 해킹, 데이터 유출, 사이버 공격 등의 위협에 취약하게 만들 수 있다. 이번 GS리테일의 고객 정보 유출 사고는 개인정보 보호 체계의 취약성을 드러낸 사례인 만큼, GS리테일이 재발 방지를 위해 CISO를 부서장급이 아닌 임원급으로 격상해야 한다는 지적이 나오는 이유다.
유통 기업들은 방대한 고객 데이터를 보유하고 있어 해커들의 주요 표적이 되고 있다. 이번 GS리테일의 고객 정보 유출이 추정되는 정보는 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일 등 7개 항목이다. GS리테일에 따르면 여러 경로를 통해 수집한 ID와 비밀번호를 무작위로 대입해 로그인한 뒤 정보를 훔치는 '크리덴셜 스터핑' 수법이 사용됐다. 이에 GS리테일은 해킹을 시도하는 IP를 차단하고 로그인할 수 없도록 잠금 처리했다. 하이트진로도 최근 '지난 1일 랜섬웨어 공격이 있었다. 암호화된 정보가 유출된 것으로 의심된다'는 사과문을 홈페이지에 공지했다.
유통업계에서 지난해 말 기준 자산 총액 5조원이 넘는 신세계와 현대백화점, 롯데쇼핑 등은 CISO를 임원급으로 지정하고, 정보보호 강화에 적극 나서고 있는 것으로 확인됐다. 특히 롯데쇼핑의 정보보호 투자 금액 규모는 동종업계 대비 현저히 높았다. 지난해 롯데쇼핑의 정보보호 투자액은 106억원으로, 현대백화점(24억원), 신세계그룹(23억원)의 4배에 달했다. 롯데쇼핑의 정보보호 투자 금액 규모가 큰 이유는 백화점·마트·슈퍼·이커머스 등 다양한 사업부를 포함하고 있기 때문으로 분석된다. GS리테일과 동종업계인 BGF리테일도 자산 총액이 5조를 넘지 않지만, CISO를 임원으로 지정하고 있다.
