개인정보보안 사각지대 ERP…"90%는 위험 노출"

< 앵커멘트 >
대기업을 비롯한 국내 1000여개 기업이 사용중인 자원관리 프로그램이 개인정보 유출 위험에 노출돼 있다는 지적입니다. 많게는 수억건의 개인정보가 들어있는데 암호화 등의 보안조치를 한 곳은 10%도 안된다고 합니다. 이규창 기자가 보도합니다.

< 리포트 >
전사적자원관리프로그램(ERP)는 인사, 재무, 고객관리 등 기업의 다양한 업무에 사용됩니다.

독일 SAP사의 제품이 널리 쓰이는데 국내에서는 삼성 등 1000여개의 주요 기업들이 도입했습니다.

지금까지는 별 문제없이 사용해왔지만 최근 기업의 개인정보 유출사고가 잇따르면서 SAP의 ERP도 보안 문제가 제기되고 있습니다.

지난해 개정된 개인정보보호법은 기업이 개인정보를 보관할때 암호화하고 이용내역을 기록해 당사자에게 알리도록 했습니다.

그러나 IT컨설팅업체 인스피언은 ERP에서 개인정보가 암호화되지 않은 채 이용되고 또 그 내역도 기록되지 않아 법 위반 소지가 있다고 지적했습니다.

서비스업체 A사의 ERP에는 무려 6억건의 개인정보가 저장돼있고 보험업체 B사의 경우도 1억건에 달하는 개인정보를 ERP로 다루고 있습니다.

그러나 이 프로그램을 사용하는 기업 1000여개 중에서 암호화 조치를 한 곳은 10%도 채 되지 않는다는 겁니다.

[인터뷰] 최정규 / 인스피언 대표
"100개 미만의 기업들만 보안조치를 했습니다. 암호화와 접속기록 추적까지 돼야 개인정보보호법을 만족시킨다고 하겠습니다."

아직 국내외에서 SAP사의 ERP에서 정보유출 사고가 발생한 사례는 없었지만 개인정보보호법 개정에 맞춰 보완이 필요하다는 설명입니다.

SAP용 보안 솔루션 전문업체인 인스피언은 최근 개인정보를 암호화하고 개인별 접속기록을 추적해 내부자의 정보유출을 차단하는 '엑스콘'이라는 솔루션을 개발했습니다.

인스피언은 "ERP는 기업이 내부에서 사용하는 프로그램이어서 암호화 등 개인정보보호법에 대비한 조치가 필요없다고 생각하는 경우가 많다"면서 "'엑스콘'은 개인정보를 암호화하고 누가 정보를 조회하고 이용했는지 기록을 남기는 것 외에 부정한 사용이 의심될 경우 접근을 차단하고 경고할 수 있게 했다"고 설명했습니다.

최근 내부자에 의한 개인정보 유출 사고가 잦은 만큼, 암호화해서 보관하고 사용기록을 분석해 이상징후를 찾아내는 솔루션을 찾는 수요가 늘고 있습니다.

한편 군인공제회는 최근 이 보안 솔루션을 도입했고 삼성도 개인정보보호법이 개정되기 전인 지난해 선도적으로 도입을 마쳤습니다.

머니투데이방송 이규창입니다.