제도나 기술의 도입만으로 해결 힘들어, 개인정보보호 문화 정착이 중요
올 초 유명 온라인쇼핑몰의 개인정보 해킹사고에서부터 최근 모 정유회사의 개인정보 유출사고에까지 최근 온오프라인을 막론한 대규모 개인정보 유출사고가 줄을 잇고 있다. 일련의 사건들에서 보듯 개인정보는 한번 유출되면 되담기가 어려울 뿐만 아니라 유출된 개인정보는 명의도용 등으로 추가 악용될 수 있어 그 심각성이 매우 크다고 할 수 있다. 특히나 인터넷으로 대변되는 정보통신기술의 눈부신 발전은 대량의 정보를 수집· 축적하고 가공할 수 있는 수단을 제공하고 있다는 점에서 개인정보의 보호에 대한 경각심이 그 어느 때보다 필요한 시점이라고 하겠다.
필자가 몸담고 있는 한국정보보호진흥원 개인정보침해신고센터에 접수된 개인정보 침해 관련 신고· 상담 건수를 살펴보면 2005년에 18,206건이던 것이 2007년에는 23,333건으로 큰 폭으로 증가하는 등 개인정보보호에 대한 일반 국민의 관심이 꾸준히 증가하고 있음을 알 수 있다. 특히 2008년 들어서는 8월까지 이미 25,235건의 신고상담건이 접수되어 2007년 전체 건수를 능가하고 있다. 이렇게 신고상담건수가 증가한데는 개인정보보호에 대한 사회적 관심과 우려가 높아졌다는 측면도 있으나 기본적으로 사회 전체의 개인정보보호 수준이 아직까지 미흡하다는 점이 큰 영향을 미친 것으로 판단된다.
사회 전체의 개인정보보호 수준 '낙제점' = 개인정보 침해가 심각한 것은 단순히 정보가 유출되어서 뿐만 아니라 유출된 개인정보가 스팸메일, 불법 텔레마케팅 등에 이용되어 개인에게 원치 않는 광고성 정보가 끊임없이 전송됨으로써 정신적 피해를 유발하며 대량의 스팸메일 발송을 위한 계정 도용, 보이스피싱 등의 범죄행위에까지 악용될 우려가 있다는 점 때문이다. 더구나 한번 유출된 개인정보는 회수가 불가능하기 때문에 유출정보의 오남용에 따른 피해가 매우 심각하다고 할 수 있다.
최근 들어 법원에서도 개인정보 유출 등 침해에 따른 정신적 피해 등을 인정하여 피해배상 판결을 속속 내리고 있는 실정이다. 이와 같이 심각한 개인정보 침해를 유형별로 살펴보면 크게 4가지로 나누어 볼 수 있다. 첫째, 내부자의 관리 소홀에 의해 개인정보가 유노출되는 경우이다.
이는 개인정보를 취급하고 관리하는 담당자의 부주의 또는 실수에 의해 유출되어서는 안되는 고객정보 등 개인정보가 외부에 유출되거나 웹사이트 등에 노출되는 경우이다. 2006년에 한 국내 은행이 복권사업 홍보메일 발송과정에서 실수로 고객정보 3만명의 파일을 첨부하여 발송한 사건이 그 사례이다. 또한, 구글과 같은 검색엔진을 통해 노출되어서는 안되는 주민등록번호 등 개인정보가 노출되는 경우도 대부분은 웹사이트 관리자의 보안조치 소홀이나 실수에 의한 경우가 많다.
둘째는 내부자의 고의적 행위에 의해 개인정보가 유출되는 경우이다.
개인정보를 취급하거나 관리하는 내부 직원이 금전적 이득 등 악의를 품고 회사의 고객정보 등 개인정보를 외부에 유출시키는 경우이다. 최근에 발생한 모 정유회사에서 직원이 고객정보를 대량으로 외부에 유출한 사건이 그 사례이다. 내부 직원의 고의적 유출은 기업이 직원들의 중요 정보에 대한 접근권한을 엄격히 관리하고 보안정책 등을 제대로 수립 시행하는 등 관리적 조치를 제대로 한다면 상당 부분 감소시킬 수 있는 경우라고 할 수 있다.
셋째는 해킹에 의해 개인정보 유출이 발생하는 경우이다.
올 초 발생한 온라인쇼핑몰의 개인정보 해킹사고 등이 여기에 해당된다고 할 수 있다. 정보사회가 진전될수록 개인정보에 대한 경제적 가치도 커지기 때문에 외부인의 악의적 해킹 등 개인정보 탈취시도는 지속적으로 발생할 것으로 예상된다. 해킹의 경우 날로 수법이 지능화, 고도화되고 있어 지키는 입장에서는 아무래도 어려움이 많을 수 있다. 하지만, 적절한 기술적 보호 장치를 갖추고 제 때 업그레이드하는 등 주의를 기울인다면 상당 부분 예방이 가능할 것이다. 정부는 정보통신망법을 통해 사업자가 갖추어야 하는 최소한의 기술적· 관리적 개인정보보호 조치를 규정하고 있다.
재발 가능성은 항상 존재 = 넷째는 기업이 고객정보를 마케팅 등 영업활동에 과도하게 활용함으로 인한 오남용 사고이다.
신규고객 유치 경쟁이 치열한 초고속인터넷 시장 등에서 고객정보를 무분별한 텔레마케팅 등에 활용하는 등의 오남용 사례가 여기에 해당된다. 특히 초고속인터넷의 경우 고객유치를 위한 하부 위탁영업망이 매우 복잡하여 본사 차원의 관리 감독이 소홀해지는 경우도 많은데 이러한 복잡한 유통구조는 오남용을 더욱 부채질하는 측면이 있다고 볼 수 있다.
개인정보 침해 유형 가운데 고의적인 내부자 유출이나 해킹에 의한 탈취의 부분은 개인정보의 경제적 가치가 크고 그 수요가 높다는 것을 반증하기도 한다. 특히 위에서 예로 든 초고속인터넷 시장의 경우 전국 대부분의 가정에 초고속인터넷이 설치됨에 따라 신규 시장을 찾지 못하고 타사의 고객을 자사로 유치해 오기 위한 기업 간의 경쟁이 치열하다. 이 과정에서 타사 고객유치에 유용하게 활용되는 방법이 개인정보를 활용한 텔레마케팅인데, 주요 초고속인터넷 사업자들이 해지고객의 정보를 파기하지 않고 지속적으로 보유하면서 재가입을 권유하는 텔레마케팅에 활용하여 오다 이같은 사실이 적발되면서 영업정지 및 과태료 처분 등의 징계를 받기도 하였다.
고의적 유출에 비해 유출 규모가 상대적으로 작은 편이긴 하지만 관리소홀에 의한 유출 사고 또한 심각하다. 이는 내부적으로 발생한 직원 실수 등에 의한 정보 유출을 차단할 수 있는 기술적,관리적 보호 체계가 미비하다는 것이므로 재발 가능성이 항상 존재한다는 점에서 적극적 보호조치가 필요하다고 하겠다.
개인정보 침해사건은 2004년 이전의 인식부족으로 인한 침해에서 2005년~2006년의 내부자 고의 및 과실에 의한 침해로, 다시 2007년 이후에는 해킹 등 기술적 수단에 의한 침해로 대략 3단계에 걸쳐 변화하고 있다고 할 수 있다.
2004년 이전 개인정보보호 인식부족에 의한 침해는 기업이나 개인 모두 개인정보보호에 대한 인식이 저조해 수집· 이용에 대한 명확한 동의 없이 텔레마케팅 등에 개인정보를 활용하는 행위 등이 주를 이루었다. 이 시기에는 기업은 기업대로 이용자는 이용자대로 인터넷 등을 통한 회원 확보, 각종 서비스 활용 등에만 관심을 기울여 보호조치를 제대로 취하지 않은 경우가 많았다.
인식부족->내부 고의 및 과실->기술적 침해로 = 그러던 것이 2005년에 접어들면서 개인정보 침해양상이 내부자 고의나 과실에 의한 것으로 변화하기 시작하였다. 특히 2005년에는 대표적인 국내 통신사가 개인정보 DB 마케팅 사업을 시도한 적이 있었다. 사실상 국내 최초의 DB 마케팅 사업이라고 할 수 있는 이 사업은 회원정보를 보험사 등 제3자에게 판매하는 사업이었는데 당시 제3자 제공 동의절차의 미비점에 대하여 정부의 제재를 받아 결국 사업 자체가 중단되기도 하였다.
이 사건은 국내 기업이 본격적으로 개인정보를 마케팅과 경제적 이득 목적으로 활용하고자 시도한 첫 사례로 꼽힌다. 그 밖에도 온라인게임의 100만여명 명의도용 사건, 모 은행의 3만 고객정보 이메일 유출 사건 등 굵직한 개인정보 관련 사고들이 끊이지 발생하였던 시기였다.
2005년 들어 나타난 특징 중의 하나는 일반 개인의 개인정보보호 인식 변화이다. 사업자의 개인정보 침해행위에 대하여 피해자들이 집단으로 손해배상소송을 제기하는 등 대응 양상이 적극성을 띠기 시작하였다. 피해자들의 소송에 대하여 법원은 개인의 정신적 피해를 인정해 배상판결을 내리기도 하였다. 이후 최근까지 개인정보 침해사건에 대한 일반 개인들의 손해배상소송은 꾸준히 이어지고 있으며 이러한 변화는 기업들로 하여금 개인정보보호에 대한 경각심을 더욱 높이게 되는 계기가 되었다고 할 수 있다.
2007년에 접어들면서 개인정보 침해는 기술적 침해 양상으로 변화하기 시작하였다. 앞서 언급한 온라인쇼핑몰 뿐만 아니라 저축은행 등 제2금융권에 대한 해킹시도, 백화점의 무선랜 해킹 우려 등 첨단 해킹기법을 앞세운 개인정보 탈취시도가 빈번하게 발생하였다. 해킹에 의한 개인정보 침해는 시스템, 네트워크 등을 아우르는 전방위적, 유기적 보호대책이 필요하다는 점에서 기존의 개인정보 침해유형들과는 성격이 다르다고 할 수 있다. 특히 우리나라의 경우 첨단 정보인프라가 잘 갖춰져 있음에도 불구하고 정보보호 수준은 미흡한 편이라 해킹사고에 취약한 경우가 많아 피해가 심각한 편이다.
개인정보 침해는 본질적으로 인간의 기본권인 사생활권을 침해한다는 측면에서 단순한 기업 비밀 유출과는 그 궤를 달리 한다고 볼 수 있다. 특히나 기업 입장에서는 고객의 개인정보가 보호의 대상이기 이전에 적극적인 영업과 마케팅을 위한 활용의 대상으로 인식되는 경우가 많다. 따라서 개인정보보호는 기업의 자율적 보호도 중요하지만 법?제도적으로 보호를 일정 부분 강제할 필요가 있으며 이를 위한 정부의 역할이 매우 중요하다고 할 수 있다.
국내의 개인정보보보 법제도적 장치는 분야별 특성에 따라 개별적인 법률로 개인정보보호를 규율하는 개별법 체계이다. 민간 부분에 주로 적용되는 법률은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'로서 이동통신사, 초고속인터넷사업자, 포털, 인터넷 쇼핑물 등의 정보통신서비스제공자와 백화점, 할인마트, 호텔 등의 일부 준용 사업자에 대해 규제하고 있다. 반면 공공부문에 대해서는 '공공기관의 개인정보보호에 관한 법률', 금융 분야의 경우에는 '신용정보의 이용 및 보호에 관한 법률' 등에 의해 규제되고 있다. 이밖에 의료 분야는 '보건의료기본법' 및 '의료법', 교육 분야는 '교육기본법', '초· 중등 교육법' 등을 통해 해당 분야 종사자의 비밀준수 의무 등에 대해 규정하고 있다.
일반법으로서 '개인정보보호법' 제정 추진 중 = 이러한 분야별 개별법 체계는 분야별 특성을 적절히 반영할 수 있다는 장점은 있으나 어느 분야에도 속하지 않는 영역에 대해서는 규율이 어렵다는 사각지대 발생의 단점이 있다. 특히, 급속한 정보화에 따라, 산업 분야 간 정보의 이동 및 연동은 활발하나 개별 법률의 개인정보보호에 대한 규제 수준이나 규정 사항은 서로 상이하여 유출 사고에 대한 법적용에 있어 혼란이 유발될 수 있다는 점 등은 국내 개인정보보호 법?제도적 체계 개선의 필요성을 불러 일으키고 있다.
이와 같은 사각지대 해소를 위해 정부는 민간 공공 등 사회 전분야에 적용 가능한 일반법으로서 '개인정보보호법' 제정을 추진 중에 있다. '개인정보보호법'의 제정은 기존의 개별법이 규율하지 못하는 사각지대를 제거하고 사회 전반의 개인정보보호 수준을 한단계 높일 수 있는 계기로 작용할 것으로 예상된다.
사회 전반에 만연된 불필요한 개인정보 수집 관행, 과도한 활용 등 문제점을 해소하기 위해서 정부는 다양한 측면의 정책을 수립하여 시행하고 있다.
특히 모든 개인정보 침해의 원인이라고 할 수 있는 개인정보 수집과 관리단계를 엄격히 규제해 불필요한 침해소지를 줄이기 위해 노력하고 있다. 이를 위해 주민등록번호 등 중요 식별번호는 반드시 법적 근거가 있는 경우에만 수집 가능하도록 하고 주요 인터넷사이트에 대하여 주민번호를 사용하지 않고도 회원 가입 등이 가능한 수단을 반드시 제공하도록 의무화하는 등의 대책을 시행하고 있거나 추진 중에 있다.
아울러, 기업 등이 개인정보를 저장하고 이용하는 과정에서 해킹이나 관리소홀 등으로 인터넷 상에 개인정보가 유노출되는 것에 대응하기 위하여 개인정보 유· 노출 탐지 및 대응시스템을 구축하여 운영할 예정이다. 또한 인터넷을 통해 전송되는 개인정보가 중간에 가로채기 공격 등으로 탈취되는 것을 방지하기 위하여 개인정보 암호화 전송을 위한 보안서버 보급을 전방위적으로 확대하고 있다.
마지막으로 만에 하나 개인정보 침해로 인하여 이용자가 피해를 입었을 경우 그 원인을 정확히 파악하여 조치하기 위한 실태조사 등 대응체계를 강화하고 피해자에 대한 민원처리 및 분쟁조정 등 피해구제 절차를 대폭 정비하여 시행 중에 있다.
사회 전반에서 많은 기업 및 기관이 개인정보를 수집?이용하고 있으나, 일신귀속(一身歸俗)적이며 인격권과 밀접한 관련이 있는 개인정보의 특성상 해당 개인정보는 정보주체인 국민의 것이다. 일반적으로 타인의 물건을 빌려쓰는 경우라면 반드시 소유자의 허락을 받은 범위에서만 사용하여야하는 것이 당연하며, 빌린 물건이 훼손되거나 도난되지 않도록 적절히 보호하고 관리할 필요성이 있다. 개인정보 또한 마찬가지다.
기업은 보다 원활하고 편리하게 서비스를 제공하기 위해 국민의 개인정보를 잠시 빌려쓰고 있는 것에 불과하므로 고객의 개인정보를 보호를 위해 보다 많은 노력을 기울여야 한다. 정보보호에 대한 투자를 증가하고, 개인정보 관리책임자를 지정하는 등 사내 개인정보관리체계를 정비하여 신규 사업을 추진하거나 시스템을 구축하는 경우 개인정보 취약성을 사전에 조사 분석하는 개인정보 영향평가를 실시하는 등 다양한 방안이 있을 수 있으나 무엇보다 중요한 것은 CEO의 인식전환이다. 최고경영자가 개인정보보호의 중요성을 인식하고 사내 개인정보보호에 지속적인 관심을 가져야만 이와 같은 노력들이 추진력을 받아 지속적으로 개선될 수 있다.
개인정보보호 문제 해결, 문화 확산에 달려 있어 = 개인정보보호는 비단 고객을 위한 것일 뿐만 아니라, 개인정보 유출에 따른 정부의 행정 처분, 대외적 신뢰성 저하, 유출에 따른 손해 배상 비용 부담 등 경영에서의 위험 관리를 최소화하고 장기적인 관점에서는 수익 개선과도 직접적인 관련이 있는 필수 불가결한 조치임을 기업은 인식하여야 한다.
이용자 또한, 자신의 개인정보를 가장 우선적으로 보호하여야 하는 것은 정부 주체 자신임을 숙지하고 웹사이트 회원가입이나, 경품행사 참여를 통해 개인정보를 제공하는 경우, 개인정보 수집· 이용에 관한 사항을 반드시 확인하여야 하며, 경품에 현혹되어 개인정보를 무작정 제공하는 등의 행위를 삼가야 한다.
개인정보보호 문제는 제도나 기술의 도입만으로 해결될 수 있는 것이 아니며 장기간에 거쳐 이루어져야 할 문화의 확산에 달려있다. 따라서 정부, 기업, 국민 등 사회 구성원 모두가 개인정보보호의 중요성을 인식하고 지속적으로 노력하여 사회 전반적으로 개인정보보호 문화를 정착하는 것이 중요하다.
박광진/한국정보보호진흥원 개인정보보호지원센터장
~~~~~~~~~~~