"정보 새는 기업, 고객이 먼저 떠난다"

"정보 새는 기업, 고객이 먼저 떠난다"

기사입력 2008-07-10 18:09

<아이뉴스24>

"일본에서는 기업이 고객정보를 유출시킬 경우 소비자가 먼저 발길을 끊습니다. 고객정보를 유출한 기업은 신뢰도 하락으로 영업에 직견탄을 맞게 되죠. 기업은 정보유출로 인한 법적인 제재보다 소비자의 눈을 더 무서워합니다."

일본 최대 온라인 쇼핑몰 라쿠텐의 아즈사 키무라(Azusa Kimura) 정보보안기획 부장은 고객정보를 다루는 기업의 제1순위는 보안이라는 점을 힘주어 강조했다.

실제 최근 일본에서도 한 달에 1~2건 이상의 크고 작은 개인정보 유출 사고가 발생하고 있는데 정보유출 사실이 알려진 기업은 고객의 외면으로 영업을 더이상 지속할 수 없게 된다는 설명이다.

라쿠텐은 지난 1997년 설립된 일본 최대 규모의 온라인 쇼핑몰. 총 회원수는 4천만명, 입점한 점포수만 2만2천개에 달한다. 지난해 유통총액은 5천370억엔이며, 연간 거래건수는 6천5백만건에 이를 정도로 최대 규모를 자랑한다.

"온라인에 뿌리를 둔 사업자로서 고객정보를 소중히 다루고 지키는 것은 필수라고 생각합니다. 일본에서 정보유출 사고로 인한 기업 이미지 타격은 거의 회복이 불가능합니다. 따라서 고객의 정보를 다루는 사업자의 경우 스스로 보안을 강화하고 있습니다."

기업 스스로가 보안 수준을 높이는 게 중요하다는 뜻이다.

정보유출 사고가 발생하면 기업은 대규모 소송에 대응해야 할 뿐만 아니라 보안시스템 점검 및 구축, 신뢰도 회복을 위해 엄청난 비용을 쏟아야 하기 때문이다. 사전에 보안체계를 구축하지 않아 막대한 비용을 치러야 하는 셈이다.

◆일본, 한국같은 대형 고객 정보 유출 사고 없어

"정부가 기업들의 고객정보 보호를 위한 규제를 제정하고 강화하는 이유는 바로 기업이 스스로 나서지 않기 때문이에요. 기업은 정부가 나서기 전에 스스로 보안 수준을 높여야 합니다. 기업 관점에서도 강제력을 동원한 정부의 규제보다 자사 조직에 맞는 보안체계를 알아서 구축하는 것이 낫다고 봅니다."

기자가 얼마전 한국 대표 오픈마켓인 옥션에서1천81만명의 고객정보가 유출된 사실을 알려주자 그는 크게 놀라는 표정이었다. 일본에서도 최근 기업의 고객정보유출 사건이 빈번히 발생하고는 있지만, 대부분이 영세한 규모의 중소기업 차원이지 대기업의 사례는 거의 없다는 설명이다.

더군다나 유출 규모 역시 적게는 수백건 많게는 수천건에 이르지만, 한국처럼 1천만명이 넘는 고객정보를 유출한 경우는 전례가 없다고 말했다.

옥션 뿐 아니라 하나로텔레콤 등 국내 업체의 고객정보 유출로 한국 정부가 부랴부랴 개인정보보호법 제정을 추진하고 있다고 설명하자, 아즈라 키무라 부장은 "일본에서도 개인정보보호법이 2006년에 제정돼 기업의 개인정보수준이 한층 강화됐다"며 말을 이어갔다.

"일본의 개인정보보호법은 개인정보 수집·취득·이용에 대한 범위를 엄격하게 구분하고 있으며, 기업이 부득이하게 개인정보를 사용할 경우 당사자의 동의를 얻게 돼있어요. 개인정보보호법은 일반법이고, 각 산업별로 개별법을 정해 고객의 정보보호에 대한 기준을 강화하고 있습니다."

그러나 아즈사 키무라 부장은 기업이 법적인 규제때문에 정보보호에 나서는 것은 아니라는 점도 강조했다.

일본에서도 기업이 보안상 관리 허술로 개인정보를 유출했을 경우 지불해야 하는 벌금은 최대 30만엔 정도로 많지 않은 액수. 법적인 제재는 그다지 무거운 편은 아니지만 정보유출로 인한 업무 지장이 훨씬 커 기업 스스로가 보안의식을 높일 수밖에 없다는 게 그의 설명이다.

◆"인터넷 사이트 가입, 개인정보 일체 요구하지 않아"

실제 라쿠텐 그룹은 정보보호관리체계인증(ISMS)을 2007년 취득했으며, 지불결제산업 정보보호 국제표준인 PCIDSS를 지난해 가을 완전 준수해 그룹 전체 보안 시스템 수준을 크게 높였다. 또 네트워크 보안 외에 회사 출입 등 물리적인 세부 규정을 엄격하게 적용하고 있다.

ISMS와 PCIDSS를 모두 적용해 한층 높은 보안 수준을 유지하고 있는 것. 최근 증가하고 있는 중국발 해킹과 SQL 인젝션 공격을 방지하기 위한 보안솔루션 도입도 이미 구축 완료한 상태다. 라쿠텐의 보안 담당 부서에는 최고정보보호책임자(CSO)를 비롯한 8명의 보안 전문가가 일하고 있다.

최근 한국에서는 인터넷사이트 가입시 주민등록번호 등의 개인정보를 과도하게 요구하는 제도로 인해 문제가 불거지고 있다고 말하자 "일본은 주민등록번호 제도가 없을 뿐만 아니라, 온라인 사이트 가입시 일체의 개인정보를 요구하지 않는다"고 설명했다.

일본 소비자는 기업에 개인정보를 제공하는 것에 대한 거부감이 상대적으로 큰 데다, 쇼핑몰에서 개인이 어떤 물품을 구매하고 관심있어 하는지 알리는 것을 극도로 꺼린다는 설명이 이어졌다. 국내 대부분의 사이트가 '고객 맞춤 정보' 제공을 마케팅 용도로 활용하는 것과 큰 차이가 있는 부분이다.

일본 온라인 쇼핑몰은 물품을 구입하기 위해 지불할 때만 개인정보를 요청할 수 있다. 물론, 이로 인한 부작용은 있다. 신원 확인 자체를 할 수 없기 때문에 극단적인 경우 가명회원 여부를 알 수 없다는 단점이 있다.

"온라인 사이트 가입시 주민등록번호를 요구하는 것은 전적으로 사업자를 위한 제도지, 사이트 이용자를 배려한 제도는 아니라는 생각이 듭니다. 관리의 편의성을 위한 목적이 강하다고 봅니다."

아즈사 키무라 부장은 "고객의 정보를 안전하게 지키는 것과 기업의 성장은 동일선상에 있다"며 "해마다 보안에 대한 투자와 관리를 강화하고 있다"고 말했다.