뚜기의 S 톨이

[기사원문보기]

돈도 주고 해킹기술 키울 수 있도록 다양하게 지원중?
국내 유포 악성코드 90% 이상 게임계정 탈취가 목적
게임아이템과 사이버머니, 돈 되는 한 공격 멈추지 않을 것

한국인들 PC에 무엇이 들어있길래 중국 해커들은 그렇게 주말마다 웹하드나 P2P, 소셜 커머스 사이트들을 통해 악성코드를 유포하고 있는 것일까? 지겨울 만도 한데 2005년부터 지금까지 쉴새 없이 악성코드를 뿌려대고 있다. 그 이유는 무엇일까? 16년간 악성코드 분석에 매달린 문종현 잉카인터넷 시큐리티대응센터 대응팀장을 만나 그 이유에 대해 자세히 들어봤다.

문종현 팀장은 “2005년부터 중국 사이버 범죄자(이들은 해커가 아니라 사이버 범죄자들이다)들로 추정되는 한 집단에서 지금까지 지속적으로 악성코드를 유포하고 있다. 그 이유는 바로 국내 유명 온라인 게임 계정을 탈취해서 게임머니나 아이템을 빼돌려 현금화하려는 목적이 있기 때문이다. 한마디로 돈 벌려고 그렇게 계속해서 공격을 하고 있다”고 설명했다.

공격패턴은 2005년이나 지금이나 비슷하다. 문 팀장은 “국내 악성코드 유포 목적의 90% 이상은 게임계정 탈취에 있다고 해도 과언이 아니다. 국내 웹하드 업체나 P2P 업체, 소셜 커머스 사이트 등에 많은 사람들이 자주 방문하기 때문에 그 사이트들의 취약점을 찾아내 해당 사이트를 악성코드 유포지로 만들어 놓고 느긋하게 기다리고 있다”며 “주로 보안관리가 안되는 주말을 이용해 작업이 이루어지고 국내 많은 이용자들이 악성코드에 감염되고 있다”고 말했다.

해커는 감염된 PC 이용자가 게임에 접속하는 순간 아이디와 비밀번호를 알아내고 이용자 몰래 게임 머니나 아이템을 빼내 거래사이트에서 이를 현금화해 돈을 벌고 있다.

◇왜 2005년과 지금 변한 것이 하나도 없을까=문 팀장은 6년 전이나 지금이나 변한 것은 하나도 없다고 안타까워한다. 그는 “누구 하나 책임을 지고 있지 않기 때문이다. 책임지는 기관도 없다. 유포지로 사용되고 있는 업체는 악성 스크립트 제거했다고 고지하면 끝이다. 법적으로 제재를 가할 법적 근거도 없다”며 “KISA는 해외 경유지 사이트를 발견 즉시 차단하고 있고 전용백신도 무료로 배포하고 있지만 공격은 끊임없이 발생하고 있고, 이런 사안은 국정원이나 경찰청이 책임질 일도 아니다. 더구나 이용자들은 그렇게 어도비 플래시 플레이어 등 최근 문제가 되고 있는 프로그램들의 보안패치를 하라고 해도 잘 하지 않는다”고 답답해 했다.

현재로서는 유포 사이트도 책임이 없고 KISA도 책임이 없다. 그렇다고 개인 유저들에게 책임을 물을 수도 없고 국정원이나 경찰청이 책임질 일도 아니다. 하지만 공격은 주말마다 계속되고 있고 많은 사용자들은 보안불감증에 빠져 계속 악성코드를 유포하는 사이트에 접속해 악성코드에 감염되고 있다.

공격자는 이런 상황이 너무 재미있고 신나는 일일 것이다. 아무도 자신들을 방해하지 않고 있으니 편안하게 한국인들의 게임계정을 탈취해 가고 있다. 탈취한 정보를 이용해 아이템을 팔아서 돈을 벌고 축적된 정보를 한국 브로커들에게 팔아서 또 돈을 번다. 한국 사이트들은 현재 중국 해커들의 돈벌이 수단이 되고 있고 해킹기술을 마음껏 연구하고 성장시킬 수 있는 놀이터가 되어주고 있는 상황이다.

문 팀장은 “웹하드나 소셜 커머스 기업들도 해킹을 당한 피해자라고 항변할 수는 있지만 많은 이용자들이 접속하는 사이트임에도 불구하고 악성코드 유포로 인해 많은 이용자들에게 피해를 주고 있기 때문에 이에 대한 법적 제재가 필요하다”며 “그래야 해당업체들이 보안에 신경을 쓰게 되고 다소나마 공격을 차단할 수 있을 것”이라고 강조했다.

◇돈이 되는 한 공격은 계속된다=국내로 유포되는 악성코드의 목적은 90% 게임계정 탈취가 목적이라고 한다. 문 팀장은 “어도비 플래시 플레이어 취약점이나 MS관련 취약점들을 이용한 공격들이 대부분이다. 온라인 게임계정을 노리는 범죄자들이 굳이 다른 나라에 악성코드를 뿌릴 이유는 없다. 한국이 타깃”이라며 “온라인 게임계정을 탈취하면 돈을 벌 수 있다는 공식이 무너지지 않는 한 이 지겨운 공격은 영원히 계속 될 것”이라고 말했다.

현재도 중국 사이버 범죄자들은 플래시 플레이어 취약점을 활용하고 있다. 한국 PC이용자들이 대부분 그 프로그램을 사용하고 있기 때문이다. 또 플래시 플레이어 보안 업데이트는 10초에서 20초만 투자하면 보안패치가 가능한데 그것을 하지 않기 때문에 공격자는 편안하게 정보를 수집하고 있는 중이다.

또 악성코드를 유포하고 있는 피해자이면서 동시에 가해자인 웹하드 업체나 소셜 커머스 업체들을 처벌할 수 있는 법적 근거도 없기 때문에 이들 업체들이 적극적으로 보안시스템을 마련할 것을 기대하기도 힘들다.

더욱이 백신업체는 24시간 모니터링하면서 열심히 일하고 있지만 결국 백신은 사후대응이 한계다.아무리 빨리 대응한다 해도 공격을 당하고 난 후이다. 또 공격자들은 최근에 백신이 탐지 못하는 것을 확인한 후 악성코드를 뿌리고 있기 때문에 백신으로는 현재의 공격을 차단하기란 불가능하다.

문 팀장은 “근본적인 원인을 제거해야 한다. 게임아이템이나 게임머니가 돈으로 환산되는 것을 막는 방법밖에 없다. 사이버 범죄자들이 돈이 되지 않는데 그 고생을 해가면서 악성코드를 뿌릴 이유가 없기 때문”이라며 “이 문제는 정부와 게임업체들의 노력이 뒤따라야 한다. 물론 게임업체 수익성 때문에 힘든 문제겠지만 이 문제를 해결하지 않으면 악성코드 공격은 끊임없이 계속될 것”이라고 강조했다.

게임 아이템거래와 게임머니 환전 문제가 근절되지 않는 한, 정부가 어떠한 보안 장치와 법을 마련하고 KISA가 아무리 노력해도, 또 백신업체가 24시간 연구인력을 풀가동해도 어차피 방어만 하고 있는 것이기 때문에 공격자들의 지속적인 새로운 해킹 기술을 당해낼 수 없는 일이다. 게임아이템 거래와 게임머니 환전 문제에 대해 관계기관과 기업, 보안업체가 모여 논의해야 한다. 방어만으로는 한계가 있다.



◇어떤 방식으로 공격하고 있나=역시 가장 많이 사용하는 공격방법은 SQL인젝션 공격방법이다. 또 사용하는 서버가 윈도우냐 리눅스냐에 따라 다양한 방식으로 공격을 시도한다. (사진출처. www.flickr.com / kevinpoh)

문 팀장은 “하지만 앞서 말했다시피 방어에는 한계가 있다. 모든 보안 시스템과 보안팀을 구축해 놓고 그래 들어 올 테면 들어와보라는 식으로 기다리고 있으면 범죄자는 웹마스터 메일로 고객처럼 위장해 메일을 보내 관리자가 고객이 보낸 파일을 열어보도록 만든다. 그럼 문서를 열어보는 즉시 감염된다. 그때부터 관리자 권한이 넘어가고 범죄자가 웹마스터가 되는 것”이라며 “이 공격이 제로데이 공격이라면 백신도 탐지 못하고 그저 당하고 만 있어야 하는 상황이 발생하게 된다”고 설명했다.

그래서 그는 “보안 시스템 구축보다 중요한 것이 전직원의 보안마인드를 어떻게 함양시키느냐이다. 사이트의 취약점도 찾아내 제거해야 하겠지만 그 보다 앞서 CEO와 모든 직원들의 보안마인드를 높이기 위한 교육이 지속적으로 이루어지는 것이 가장 중요하다”고 말했다.

사실 공격자들이 SNS를 활용해 기업 CEO나 임원 메일을 알아낸 후, 악성파일이 숨겨진 파일을 메일에 첨부해 직원들에게 보내면 끝이다. 웬만한 기업들은 당해 낼 수가 없다. 어설프게 몇가지 보안장비를 들여놨다고 해서 안심할 문제가 아닌 것이다. 실제로 지금도 수많은 기업들이 이러한 공격에 무방비로 너무도 손쉽게 범죄자들에게 당하고 있는 것이 지금의 현실이다.

문 팀장 또한 “돈을 목적으로 하고 있는 사이버 범죄자들은 웬만한 기업들은 100% 뚫을 수 있다. 취약점을 이용하든 사회공학적 공격방법을 이용하든 점령당하게 돼 있다. 기업도 그런데 일반인들은 더 속수무책”이라며 “하루빨리 사이버 범죄자들이 한국 사이트를 공격해 봐야 돈이 안되는 사회적 환경을 만드는 것이 최선”이라고 말했다.

◇최소한의 노력이라도 하자=문 팀장은 “사실 옥션 정보유출 사태 전까지는 보안에 대부분 관심도 없었다. 집단 소송도 걸리고 해킹사건으로 기업이 위험해 질 수 있다는 인식이 확산되면서 보안솔루션이나 보안팀 구성이 다소 활성화 된 것이 사실”이라며 “당하고 후회하지 말고 최소한 사이트 취약점 점검을 수시로 하고 웹 사이트 관리자들은 관리자 암호라도 자주 복잡하게 정기적으로 바꿔줘야 한다. 또 서버에 백신 설치하는 것 얼마 안든다. 그리고 좀더 큰 기업들은 웹 스캐너, 웹방화벽, 보안 전담팀 구축 등을 생각해야 한다”고 조언했다.

또 그는 “백신을 설치했다고 하면서도 정작 컴퓨터가 느려진다고 실시간 감시기능을 꺼두는 사람도 봤다. 정기적으로 수동검사도 하지 않는다. 그러면서 백신 때문에 심리적 안정을 갖고 있다. 개인뿐 아니라 기업도 마찬가지 경우가 많다. 보안솔루션 도입하고 제대로 관리하지 않으면 보안솔루션 없는 것과 같다”며 “피해를 입기 전에는 예방에 신경쓰고 피해를 입었다면 제대로 외양간이라도 고쳐야 한다. 이를 강제할 수 있는 법적 제도적 장치마련도 필요하다”고 지적했다.

◇돈도 벌어주고 해킹기술도 키워주는 한국, “땡큐쏘머치”=한국은 중국 사이버 범죄자들의 놀이터이자 황금어장이다. 돈 벌기 정말 좋은 환경을 제공해주고 있다. 이용자 많은 사이트 몇 개 해킹해서 자동화 프로그램으로 악성코드 유포하고 게임계정 알아내고 아이템이나 사이버머니 팔아서 돈버는 그야 말로 이보다 좋을 순 없다. 또 가끔 해킹 방어한다고 이런저런 시스템 설치도 해주니 해킹기술도 발달한다. 고양이가 쥐를 가지고 놀 듯 즐기면서 이렇게도 해보고 저렇게도 해보고 그 기술을 자기들끼리 공유하면서 ‘한국 사이트 뚫는 방법’에 대해 체계적으로 학습을 하는 상황이다.

우리는 인위적으로 화이트해커를 양성해야 한다며 어렵사리 대학이나 대학원에 교육과정을 개설하고 사이버사령부에서 사이버전 요원들을 양성하겠다고 떠들썩 하지만, 그네들은 실전 해킹방법을 연마하고 있고 그것이 돈과 연관돼 있기 때문에 치열하게 공부하고 기술공유도 이루어지고 있는 상황이다. 자연스럽게 한국이 중국 해커 양성을 돕고 있는 것이다. 그런 실전 공격력을 지속적으로 배양한 자들과 어떻게 대적할 수 있을까. 학교나 학원에서 곱게 배운 실력으로는 어림도 없다는 것이 전문가들 의견이다.

중국 범죄자들에게 돈도 벌어주고 해킹기술도 연마시켜주는 한국. 문 팀장은 “답답하다. 중국 사이버 범죄자들이 게임 계정을 탈취하기 위해 모은 수많은 한국인 개인정보와 해킹기술들이 모여 나중에는 어떤 결과가 초례 될지 두렵다”며 “지금은 단순 게임계정 탈취용이지만 실제 심각한 전쟁이나 사이버 전쟁이 발생했을 때 그런 정보들이 얼마나 치명적 결과를 가져올지 생각해 봐야 한다”고 말했다.

◇게임아이템과 사이버머니 현금화 차단해야=사이버 범죄자들은 KISA나 민간 백신업체들이 많이 노력하고는 있지만 여기 막으면 다른데 뚫을 곳 널려있다는 식으로 생각한다. 근본적인 악의 근원을 뿌리 뽑지 못하면 이 지겨운 전쟁은 계속 될 것이다.

바로 게임아이템과 사이버머니의 현금화를 금지해야 한다. 문 팀장은 “돈이 되는 한 공격은 계속된다. 막을 수 없다. 그거 막으려고 사실 KISA나 백신업체들 일하고 있다. 게임아이템과 사이버머니가 돈이 안되도록 하면 끝”이라며 “덩치가 커진 게임업체들의 저항도 만만치 않겠지만 정부와 관련업계, 보안업체 등이 모여 머리를 맞대고 풀어야 할 숙제”라고 말했다.

물론 게임업체들도 아이템 거래와 사이버머니 현금화에 반대하고 있고 노력을 기울이고 있는 상황이다. 하지만 부족하다. 온라인 게임 특성상 아이템 현금화가 게임의 큰 생명력을 불어 넣고 있기 때문에 유저들의 자발적인 참여를 기대하는 것은 무리다. 법적인 제재가 필요하다. 강력한 결단이 없는 한 중국 사이버 범죄자들에게 돈도 주고 해킹 기술도 키워주는 이 어처구니 없는 일의 무한 반복은 계속 될 것이다. [데일리시큐=길민권 기자]

[기사원문보기]

웹사이트를 평소처럼 방문했는데 갑자기 PC에 설치된 백신 프로그램이 악성코드에 감염됐다는 메시지를 보여줘 당황할 때가 있다. 웹사이트가 해킹돼 악성코드를 유포하고 있기 때문이다.

이런 형태의 공격으로 피해가 느는 이유는 금전적인 이익을 취하려는 해커 때문이다. 요즘은 해커의 공격 방식이 온라인 게임이나 스팸, 허위백신과 같은 매체에 특화돼 있고, 공격 기법 또한 전문화되고 있다. 일례로 국내에서 많이 유포되는 온라인 게임핵의 경우 계정을 탈취하는 게임의 종류나 악성코드 내부 기능들이 처음부터 국내 PC환경에 맞게 제작된다.

해커의 공격 방식이 점점 고도화되고 있지만 웹 환경은 여전히 보안에 취약하다. 평범한 웹사이트가 해킹돼 악성코드를 유포하기 시작한 것은 이미 오래 전부터의 일이다. 보안업계 종사자뿐 아니라 일반 사용자들도 잘 아는 내용이지만 상황은 악화일로에 있다.

유포된 악성코드들은 대부분 사용자 정보를 탈취하는 것들이고, 이 정보는 사이버 블랙마켓 등에서 판매될 것이다. 웹 사이트를 통한 악성코드 유포는 특정 그룹을 타깃으로 공격할 수 있다. 효과도 매우 뛰어나다. 때문에 악성코드 제작자들은 더 이상 이메일이나 P2P를 이용해서 악성코드를 유포하지 않는다.
3·4 DDoS 공격 당시 악성코드를 유포했던 업체들의 대부분은 공격이 발생하기 수개월 전부터 홈페이지에서 다른 악성코드를 유포하고 있었다. 그 가운데 일부 사이트는 현재도 악성코드를 유포한다.

이런 위협에 대처하는 가장 좋은 방법은 예방이다. 일단 서버가 해커에 손에 들어가면 백도어를 찾기란 쉽지 않다. 찾아낸다 해도 이미 주변 시스템들까지 모두 장악된 터라 문제가 재발하는 경우가 많다. 악성코드를 유포하는 대부분 사이트들의 관리자는 해킹된 사실을 모른다. 이를 인지해도 근본적인 문제가 해결되기 전까지 계속 해커에게 이용된다.

웹 보안 강화를 위한 자료들이 많기 때문에 웹사이트 관리자들은 이런 상황에서 무엇을 해야 하는지 이미 잘 알고 있을 것이다. 상황을 개선하기 위해 필요한 것은 기술적 완성도를 높이는 것보다 개선을 위한 결정권자의 강력한 의지와 지원임을 잊어선 안된다.

[기사원문보기]

많은 사람들이 매달 둘째 주 수요일 아침부터 분주하지 않을까 싶다(만약 그렇지 않다면 이제부터 바쁘게 보낼 필요가 있다!). 바로 정기 윈도우 업데이트가 발표되는 날이기 때문이다. 필자도 출근 후 회사에서 사용하는 3대의 컴퓨터에 윈도우 보안 업데이트를 적용하고 이후 가상환경에 설치한 윈도우도 보안 업데이트를 진행한다. 대략 10번 이상 업데이트를 진행하므로 매달 둘째 주 수요일은 오전 시간을 업데이트로 다 보내고 있다. 이렇게 보안 업데이트에 신경 쓰는 이유는 보안업데이트를 적용하지 않으면 취약점을 이용한 악성코드 공격 받을 가능성이 높기 때문이다. 여기까지는 보안에 관심 있는 일반적인 사용자들도 하는 일이다.

백신업체에서 악성코드 분석하는 업무를 하다 보니 수많은 보안사고를 접하고 있다. 세상에 믿을게 없다는 지독한(?) 불신을 가지면서 스스로 보다 안전한 컴퓨터 환경을 위해 ‘가상화’, ‘습관’, ‘고민’의 도움을 받고 있다.

재작년부터 ‘가상화’ 프로그램을 이용해 컴퓨터 안에 또 다른 컴퓨터 환경을 구축해 두었다. 가상환경은 ‘업무’, ‘인터넷 서핑’, ‘인터넷 뱅킹’, ‘웹하드’, ‘악성코드 분석’ 등으로 나눴다(이 글도 가상환경에서 작성 중이며 작성 문서는 네트워크 드라이브로 실제 시스템에 저장된다). 공격자 입장에서 보면 하나의 가상 환경 내 시스템을 장악할 수는 있어도 주요 정보가 있는 실제 컴퓨터나 다른 가상 컴퓨터를 또 장악해야 하므로 공격이 분명 더 어려워진다. 단, 여러 대의 가상환경을 돌릴 만큼 시스템 성능이 뒷받침 되어야 하므로 상대적으로 최신 시스템이 필요하다.

‘업무’ 환경은 회사 메일 확인과 문서 작업이 가능하게 해뒀고 인터넷 서핑 환경은 인터넷 서핑에필요한 플래쉬 플레이어와 PDF 뷰어 외에는 설치하지 않고 다른 프로그램은 필요할 때마다 설치하고 있다. 인터넷 서핑은 가상환경을 종료하면 이전 상태로 복원되도록 했다. 인터넷 뱅킹 역시 중요한 공인인증서가 보관되어 있으므로 별도로 구성해 두었고 최근 프로그램 업데이트를 통한(특히 웹하드) 악성코드 감염이 증가하고 있어 웹하드 역시 별도 환경으로 분리해 두었다.

실제 시스템에는 주요 악성코드 감염 경로인 문서 편집 프로그램, PDF 뷰어, 플래쉬 플레이어 등은 아예 설치 하지 않았다. 주요 자료는 실제 시스템에 보관해 혹시 가상환경 내 시스템이 악성코드에 감염되어도 접근할 수 없게 해 정보 유출 가능성을 최소화했다.

가상환경 구축만큼 중요한 건 사용 ‘습관’이 아닐까 싶다. 가상화를 구축해도 정작 하나의 가상환경에서 회사 업무도 보면서 인터넷 서핑도 하고 문서 작업도 한다면 악성코드 감염 가능성이 그만큼 높아진다. 따라서, 가상환경을 용도별로 잘 분류해서 해당 용도에만 사용하는 습관이 가상환경 구축만큼 중요하다(사실 가장 좋은 방법은 용도별로 물리적으로 컴퓨터를 분리하고 별도의 인터넷 선을 사용하는 방법이지만 현실적으로 쉽지 않다). 처음에는 다소 불편하지만 회사 메일 확인 등을 하는 업무 가상환경에서는 특별한 경우가 아니면 인터넷 서핑을 하지 않으며 외부에서 받은(회사 직원이 보낸 메일이라도) 문서도 열어보지 않는다. 이들 가상 환경은 윈도우 업데이트 될 때마다 이전 환경으로 복원 후 보안 업데이트를 진행한다. 한달 사이에 악성코드나 외부 침입이 있더라도 생존 기간은 한달 정도가 된다. 제품을 구매할 때도 보안을 고려해 얼마 전 해외 출장을 준비 할 때 애플 맥북 에어를 구매했다. 이전에 사용하던 노트북보다 가볍고 무엇보다 악성코드나 해킹의 가능성이 윈도우보다는 낮기 때문이다(가능성이 낮다는 얘기지 불가능하지는 않다). 윈도우가 꼭 필요한 상황일때는 역시 가상화를 이용하면 된다.

공격자들도 사용자 시스템을 장악하기 위해 여러 가지 방안을 마련하므로 최신 공격 방식을 파악하고 좀 더 효과적인 대응 방안을 ‘고민’하고 있다. 시스템 보안뿐 아니라 암호 역시 마찬가지이다. 언론을 통해 어려운 암호를 사용해야 한다고 계속 보도되고 있지만 아무리 어려운 암호도 동일하게 사용한다면 해킹된 다른 사이트를 통해 수집한 아이디와 암호를 대입하는 방식으로 쉽게 뚫릴 수 있다. 필자는 일반, 포털, 금융, 쇼핑 등으로 나눠서 암호를 다르게 사용했다. 하지만, 해킹 위협이 계속 증가하면서 요즘은 자신만의 알고리즘을 만들어 사이트마다 다르게 적용을 시도 하고 있다. 이제는 다른 암호뿐 아니라 용도별로 아이디를 다르게 구분할 예정이다.

하지만, 이렇게 보안에 신경을 쓴다고 해도 공격자가 공격할 수 있는 허점은 물론 존재한다. 가상환경을 구성하는 중간에 악성코드에 감염된다면 악성코드를 포함한 상태로 이미지가 만들어져 완벽한 보안이라고 할 수 없다. 어떤 가상환경을 사용하는지 알 수 있다면 가상환경 프로그램 자체의 취약점을 이용해 가상환경을 벗어나 실제 시스템으로 접근할 수 있다. 암호 역시 사이트마다 다르게 만들어도 일정한 규칙이 있다 보니 1-2개의 암호만 알아 낸다면 다른 암호도 비교적 쉽게 추정할 수 있다. 암호 알고리즘을 더 어렵게 만들어야겠지만 정작 본인이 기억 못할 수 있고 잦은 암호 변경은 자주 방문하지 않는 사이트의 비밀번호를 모르는 상황을 야기한다.

가상공간 아니면 인터넷을 사용하지 않으려는 필자를 보면 지나치게 건강을 걱정하는 ‘건강염려증’처럼 지나친 걱정이 아닐까 싶지만 이 정도는 기본으로 해야 하는 시대가 왔다고 생각된다. 나하나 때문에 자신의 회사 보안이 뚫릴 수 있다고 생각한다면 이런 ‘보안염려증’이 ‘보안불감증’보다 낫다는 믿음을 가지고 있다

[기사원문보기]

개인정보보호법 통과에 따라 그간 법의 사각지대였던 민간 사업자, 비영리단체, 사법기관, 동호회 등 수백만 사업자, 기관들이 추가적으로 개인정보보호 의무를 새로이 부여받게 된다. 아울러 고객 개인정보에서부터 입사 지원자정보, 임직원정보, 협력회사 인원정보 등 모든 유형의 개인정보가 법 적용 대상이 되기 때문에 모든 기업은 어떤 형태로든지 이 법을 준수해야 한다.

기존 법률에 따라 개인정보보호의 틀이 어느 정도 잡혀있던 포털, 통신사, 쇼핑몰 등 정보통신서비스제공자나 준용사업자의 경우에는 개인정보보호법에 따라 변경되는 부분만 보완하면 된다. 하지만 순수 B2B 성격의 제조 기업 등 개인정보보호 관련 법제도의 사각지대에 놓여 있었던 기업들은 완전히 새롭게 개인정보보호 체계를 수립해야 할 것이다.

기업은 우선적으로 개인정보보호법 내용을 충분히 숙지하고, 머지않아 발표될 시행령·시행규칙 및 정부의 정책방향 등을 모니터링해 회사의 개인정보보호정책·지침을 수립해야 한다. 또 조직체계를 정비하는 등 전사 개인정보보호 관리체계도 수립해야 한다.

다음으로는 전사에 존재하는 개인정보가 어떤 것들이 있으며 그러한 정보들이 수집, 저장, 이용, 제공, 폐기되는 모든 과정의 라이프사이클을 파악해 각 단계별로 어떠한 법적·보안적 리스크가 있는지 분석해야 한다.

마지막으로 이렇게 식별된 개인정보보호 리스크에 대해 개인정보보호법에서 요구하는 최소한의 조치를 우선적으로 적용해야 한다. 여기에는 고유 식별정보에 대한 암호화, 접속기록의 보존, 내부관리계획 수립 등과 같은 기술적·물리적·관리적 보호조치뿐만 아니라, 개인정보 수집 동의 절차 수립, 개인정보처리방침 고지 등과 같은 정보주체의 개인정보 자기결정권을 보장하는 측면들도 함께 고려돼야 한다.

최근에 초대형 보안사고가 잇따라 발생하면서 기업의 보안담당자들이 가장 많이 들었을 말이 “우리는 괜찮은가?”였을 것이다. 그동안 설마 우리는 괜찮겠지 하던 안이한 생각들로 인해 소극적으로 대응해오던 기업들도 최근 발생한 보안사고들을 바라보면서 보안 강화를 위한 긴급조치를 취하고 투자를 검토하고 있다.

개인정보보호법도 조만간 현실이 될 것이다. 철저히 준비하고 기업 환경에 맞는 개인정보보호체계를 수립해 더 이상 소 잃고 외양간 고치는 일이 없기를 바란다.