13.01
18
KT 개인정보 유출 사건으로 통신사마다 자체 보안시스템 강화와 함께 대리점과 판매점의 '사람 관리'에 비상이 걸렸다. 이번 사건을 일으킨 해커들은 KT의 정식 대리점인 척 고객정보시스템에 접근하는 수법을 사용한 것으로 알려졌다. 통신사가 보안체계를 강화하더라도 대리점이나 판매점 직원들이 '나쁜 마음'을 먹는다면 속수무책 당할 수밖에 없는 한계를 고스란히 드러낸 셈이다.
현재 KT를 포함한 통신업체의 개인정보 관리시스템은 각 대리점에 식별가능한 고유의 코드번호 등을 부여해 고객정보 조회 기록 등을 관리하는 방식이다. 업체별로 독립된 계정 정보 프로그램을 통해 각 대리점마다 고객정보에 접근할 수 있는 권한을 극히 제한함으로써 어느 지점에서 언제 고객정보를 조회했는지 살펴보는 것이 가능하도록 돼 있다.
SK텔레콤은 대리점마다 지정된 IP를 통해 고유 아이디와 패스워드를 부여하고 있으며, LG유플러스의 경우 60자리가 넘는 난수 인증 등의 복잡한 과정을 거쳐야 고객 정보에 접근이 가능하도록 이중 삼중의 방어막을 쳐놓고 있다는 설명이다.
 |
사진_머니투데이
KT 관계자는 "사건 직후 내년 후반기로 예정돼 있던 영업시스템 개편 작업을 최대한 앞당겨 진행 중이다"며 "계정 조회 권한을 더 엄격하게 제한하는 등 보안시스템을 강화할 방침"이라고 전했다.
그러나 이번 사건에서도 드러나듯 문제의 핵심은 '사람관리'다. 최근 몇년 새 보안시스템을 강화하며 자신감을 보이는 업체들도 대리점이나 판매점 관리 문제에 있어서는 뾰족한 대안이 없어 고심하는 분위기가 역력하다. KT 관계자는 "통신사 입장에서는 가장 고민스러운 부분이며 다양한 방법을 검토 중"이라면서도 "현재로서는 모니터링을 강화하는데 중점을 두고 있다"고 답했다.
그나마 대리점 직원에게 수시로 메일을 통해 보안의식 강화교육을 하고 있지만, 정작 보안사각지대나 다름없는 판매점과 관련해서는 속수무책이다. 그도 그럴 것이 통신사와 직접 계약을 맺고 있는 대리점과 달리 판매점은 대리점 또는 직영점과 임의계약을 통해 영업을 하는 시스템이다. 엄밀히 말해 통신사의 통제권 밖에 있는 것이다.
특히 판매점들은 계약관계에 있는 대리점과 지정된 아이디 등을 공유해 사용하는 경우가 많아 고객정보 유출의 위험성을 더욱 키우고 있다. 현재 통신3사 중 유일하게 SK텔레콤이 판매점에까지 지정 IP를 부여하고 있지만, 이 역시 직접적인 계약관계가 아니어서 통신사가 개인사업자를 통제하는 것이 불가능하긴 마찬가지다.
SK텔레콤 관계자는 "고객정보를 철저하게 관리하기 위해 종이가입신청서를 모두 없애는 등 프로세스 강화에 중점을 두고 있다"며 "판매점은 고객정보를 확인할 수 있는 접근 권한을 처음부터 주지 않는다"고 설명했다.
그는 "만약 대리점에서 판매점에 접속 권한을 줬다면 대리점 접속기록이 모두 남게 돼 있다"며 "문제가 발생한 대리점은 영업정지 등의 처벌을 강화했다. 대리점 관리감독을 강화함으로써 판매점도 자연스럽게 연결되도록 하고 있다"고 전했다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제242호에 실린 기사입니다.