인식 부족-->개인적 인식-->사회적 인식 단계로 진화, 이젠 사회적 실천 단계로 발전해야
1. 들어가기
통계청 정보에 따르면, 한국정보보호진흥원 개인정보침해신고센터에 접수된 개인정보 침해관련 신고, 상담 건수가 2000년 2,050건에서 2007년에는 25,965 건으로 큰 폭으로 증가했다.
이렇게 신고, 상담 건수가 증가한 이유는 사회 전반적으로 개인정보보호 수준이 아직 적절하게 확보되어 있지 않은 가운데 개인정보보호에 대한 개인들의 관심과 우려가 높아진 것으로 해석할 수 있다. 또한, 개인정보 침해사고가 많았던 작년 한 해 동안 손해배상 소송이 20만 건에 달했다는 점은 개인정보 소유권, 보호에 대한 개인의 의지가 강해지고 있는 것으로 풀이된다.
정부는 그동안 산업분야별로 분리, 적용되었던 개인정보보호법을 일반법으로 통폐합하고 강화하는 안으로 입법 상정해 전 산업 영역에 걸쳐 개인정보의 오ㆍ남용 및 불법 사용을 강력하게 규제하려는 움직임을 보이고 있으며, 이에 따라 교육 및 홍보 활동을 강화해 사회적인 인식 제고에 힘쓰고 있다.
그럼에도 불구하고, 최근 정부에서 발표한 개인정보보호 수준 측정 결과를 보면 일부 중앙행정기관을 제외하고는 60점대 수준에 그쳐 좀더 적극적인 개인정보의 보호 활동이 필요할 것으로 요구되고 있다.
기업에서도 통신, 포털, 제1금융권 및 제2금융권 등 대규모 개인정보를 취급하는 산업군을 중심으로 개인정보영향평가제 도입, 운영 등 다양한 개인정보보호 대책을 강화해 적용하려는 동향을 보이고 있다.
이번 기고에서는 개인정보보호가 사회적 이슈화가 되었던 지난 2000년 이후로 개인정보의 침해유형을 파악하고, 개인정보보호를 위한 사회 각계 각 주체별 노력을 알아보고, 향후 긍정적인 변화 방향에 대해 포괄적으로 제언하고자 한다.
2. 개인정보 침해유형과 이에 따른 인식의 변화
우리나라에 개인정보 및 개인정보보호가 이슈가 되기 시작한 2000년대 초부터 현재까지 개인정보의 소유, 사용의 주체인 개인과 기업, 공공기관들의 인식과 대응 행태는 지속적으로 변화하고 있다.
2000년대 초반은 CRM(Customer Relation Management)이 민간 기업에서 인기를 누리며 인터넷을 통한 개인정보의 교류 및 활용이 증가한 시기였다. 이때부터 고객관계관리를 위해 고객의 다양한 개인정보들을 대량으로 수집하고 사용하게 되었고, 개인정보의 중요성과 그 보호방안에 대해 인식되기 시작되었다.
개인정보의 침해유형에 따라 개인정보보호에 대한 인식 및 대응 단계를 보면 2005년 이전은 인식 부족의 단계, 2005년~2006년은 개인적 인식의 단계, 2007년 이후는 사회적 인식의 단계로 분류할 수 있다.
인식 부족의 단계 – 개인정보와 개인정보보호에 대한 개념, 기준 인식이 부족한 단계
개인정보 및 개인정보보호에 대한 기준, 개념이 명확하지 않아 기업 및 기관은 개인정보의 목적 외 임의적 사용을 관행으로 인식하고, 개인들은 개인정보의 오ㆍ남용/유출 침해의 피해에 대해 그 영향도를 간과함으로써, 개인정보 취급을 통제하거나 규제하는 활동이 미흡했던 단계를 말한다. 고객관계관리(CRM) 시스템 등의 활성화에 따라 고객의 개인정보 활용도가 급격히 높아졌고 정보의 보호보다는 이용 측면이 강조되면서 나타나는 역현상으로 개인정보가 침해되었던 시기라고 할 수 있겠다.
기업 및 기관에서 개인정보를 목적 외 용도로 이용하거나 DB 등에 저장된 개인정보를 공개 또는 공유하는 등의 개인정보의 자기결정권을 침해한 사례가 발생했다. 예를 들어 모 생명보험사가 은행연합회 등을 통해 획득한 신용정보를 해당 개인의 동의없이 불법적으로 이용하여 마케팅에 이용한 사건이 있었으며, 통신회사에서 고객의 개인정보를 무단으로 이용하여 별도의 부가서비스 등에 가입시키는 사건이 있었다. 또한, 미아찾기 등 인도주의적 목적을 가진 경우에도 프라이버시권을 침해할 소지가 있는 경우, 마땅히 사회적 합의를 거치고 법적 보호장치를 마련해야 한다는 주장이 사회단체로부터 제기됐다.
개인적 인식의 단계 – 의도적으로 개인정보를 유출하려는 시도가 발생한 시기
2003년 이후, 개인정보 취급자가 고의 또는 과실로 개인정보를 오ㆍ남용하거나 관리적 보호대책, 기술적 보호대책의 적용 미비로 개인정보가 유출되는 등 침해 형태가 변화되기 시작했다.
특히, 2005년에는 대표적인 국내 통신사가 개인정보 DB 마케팅 사업을 시도한 적이 있었다. 사실상 국내 최초의 DB 마케팅 사업이라고 할 수 있는 이 사업은 회원정보를 생명보험사 등 제3자에게 판매하는 사업이었는데, 당시 제3자 제공 동의절차의 미비점에 대해 정부의 제재를 받아 결국 사업 자체가 중단되었다. 이 사건은 국내 기업이 개인정보를 사업 목적으로 활용하고자 했던 첫 사례로 꼽힌다.
그 외에도 2006년 온라인 게임 사이트에서의 100만 여 명 명의도용, 은행의 3만 고객정보 이메일 유출, 전자회사의 입사지원서 유출 등 대형 관련 사고들이 연이어 발생했다.
이러한 사고는 개인에게 개인정보보호의 중요성을 인식하게 하였고, 그에 따라 개인정보 침해 신고 건수는 2002년, 2006년 등 개인정보 침해사고 관련 주요 시점마다 급증하는 등 개인정보보호와 관련한 적극적 신고 등으로 개인의 행동이 변화됐다.
또한, 개인정보 침해 유형 분류 내역에 따르면 '법적용 불가 침해사례'가 2006년 이후 급격히 늘어난 것을 알 수 있다. 이는 법에 규정되지 않았으나, 개인이 프라이버시를 침해당했다고 느낄 수 있는 새롭고 다양한 사례가 발생했으며, 이를 인식할 수 있는 개인의 프라이버시 보호 욕구와 인식이 증가되었음을 보여준다.
개인정보 침해행위에 대해 피해자들이 집단으로 손해배상소송을 제기하는 등 대응 양상이 더욱 구체적이고 적극성을 띠기 시작하였고, 법원은 재산상의 직접적인 피해가 없더라도 개인의 정신적 피해를 인정한 배상 판례를 남겼다. 이후 최근까지 개인정보 침해사건에 대한 손해배상소송은 지속적으로 이어지고 있으며 이러한 변화는 기업들로 하여금 개인정보보호에 대한 경각심을 더욱 높이게 되는 계기가 됐다.
사회적 인식 단계 – 금전을 목적으로한 적극적 침해 시기
2007년 이후 개인정보 침해 시도는 기술적 시도 외에 사람의 심리를 이용한 사회공학적 기법 등을 결합해 더욱 진화하게 된다. 온라인 쇼핑몰 침해사고, 저축은행 등 제2금융권에 대한 해킹, 백화점의 무선랜 해킹 등 첨단 기법을 이용해 개인정보 탈취시도가 빈번하게 발생했다. 또한, 시스템 접근 권한이 있는 내부자 또는 용역업체 인력들에 의해 개인정보가 무더기로 유출되기도 하고 기업 내에서 대규모로 개인정보를 목적 외 마케팅으로 사용한 사례도 발생했다. 이러한 기술적 공격 외에 개인정보를 이용해 보이스 피싱, 메신저 피싱 등 사람의 심리를 이용한 금전 사기 사례가 다수 발생했다.
개인정보 침해 기법의 복합화, 다양화 외에도 침해사고 발생 시의 개인의 대응 형태가 개인과 로펌이 결합해 좀더 전문적인 집단손해배상을 추진하는 형태로 변화됐다. 최근 언론에 따르면, 개인정보 유출기업을 상대로 집단손해배상에 참여한 사람은 19만 5천여 명, 총 배상요구액은 2100억 원 대의 규모에 이른다.
총 배상요구액 대비 실제 집행 배상금액이 적을 것으로 예상하더라도, 개인정보보호는 단순히 '주의해야 할 사안' 정도가 아니라 '생존에 영향을 줄 수 있는 사업 연속성의 중대한 사안'으로 인식될 수 밖에 없다. 국내 CONCERT(한국침해사고대응팀협의회) 회원사의 정보보호 담당자들을 대상으로 한 설문 조사에 따르면 앞으로의 보안 화두는 '개인정보보호'로 나타났는데 2008년 이후 많은 기업, 기관에서 개인정보보호를 위한 대책 수립에 고심하고 있는 상황은 이를 입증하고 있다.
그렇다면, 현재 우리나라 개인정보보호 준비사항은 어느 정도일까.
최근 행정안전부(이하 행안부)와 방송통신위원회(이하 방통위)에서는 각각 공공영역과 민간영역(기업/개인)의 '개인정보보호 수준'에 대한 평가 결과를 발표했다. 중앙행정기관 개인정보보호 수준은 83.75점(100점 만점)인 반면 민간 영역의 개인정보보호 수준은 64.3점(100점 만점)으로 나타났다. 민간 영역은 평균 '가'에 해당하는 낙제점을 받은 셈이다.
특히, 방통위가 한국인터넷정보보호진흥원과 '개인정보보호 지수' 모델을 통해 점검 평가한 민간영역의 개인정보보호 수준은 개인 수준이 66.8점이고 기업 수준이 61.8점으로 나타났다.
방통위에서 주관한 개인정보보호 수준 측정 결과(3/6 발표)를 보면 민간 기업의 경우 총 6개 지표에 대한 점검 결과 2007 년 45.9점에서 2008년 61.8점으로 15.9점이 상승하였고, 개인의 경우 총 6개 지표( 개인정보 취급방침 확인율, PC 및 웹 사이트 비밀번호 관리율, 공인인증서 사용률, 악성코드 제거 프로그램 사용률, 인터넷 보안 설정률, OS 업데이트율)에 대한 점검 결과 2007년 58.5점에서 2008년 66.8점으로 8.3점이 상승했다.
민간 기업의 경우 개인에 비해 개인정보보호 수준이 낮지만, 2007년과 비교하면 25.6% 개선됐다. 이는 2008년 개인정보침해유출 사고와 집단손해배상, 개인정보보호법의 입법예고 등의 변화 물결에 자극을 받은 것으로 판단된다. 그러나 민간 기업의 2008년 상세 개선 사항을 분석하면, 개인정보보호 방침 게시, 개인정보보호 내부 교육, 보안서버를 통한 암호화 통신 등 큰 투자없이 쉽게 이루어질 수 있는 항목 중심의 개선이었다는 사실에 다소 실망을 금할 수 없다.
이렇듯, 아직 민간 분야의 개인정보보호에 대한 투자는 미흡한 수준이다.
2008년 말 문화체육관광방송통신위 소속 한선교 의원이 경찰청과 한국정보보호진흥원으로부터 제출받은 자료를 분석한 결과, 기업 100개중 5개만 전담 보안부서를 운영하고, 정보보호를 위한 비용 지출이 없는 기업은 2005년 39.2%에서 2007년 50.8%로 늘어난 것으로 조사됐다.
기업의 보안담당자는 개인정보보호를 '보안의 화두'로 여길 정도로 개인정보보호에 대한 중요성을 느끼고, 기업의 책임 부분에 대해서도 인식하고 있음에도 불구하고 이처럼 기업에서의 개인정보보호 수준 개선이 미흡한 이유는 무엇일까?
이러한 문제를 해결하기 위해서는 적극적이고 중장기적인 투자가 필요하다. 무엇보다 CEO 등 경영진의 인식 변화를 통한 투자 실천이 중요하다. 인식 부족, 개인적 인식, 사회적 인식 단계에 이어 '사회적 실천' 단계가 되기를 바라는 마음이다.
정부에서도 개인정보침해 피해의 심각성과 극렬하게 변하는 침해시도에 대해 이해하고, 규제 강화 및 사회적 인식 제고의 노력을 계속하고 있다. 현재 국회에 입법 상정된 개인정보보호법안은 공공ㆍ민간 부문은 물론 비영리단체 등 모든 개인정보 취급자를 적용 대상으로 삼아 그 동안 개인정보보호 관련 컴플라이언스 사각지대를 해소하고, 국가 사회 전반의 개인정보 보호수준을 제고시킬 수 있는 일관된 기준을 제공하기를 기대한다.
3. 앞으로의 변화 방향 제언
최첨단 정보화 사회로 치닫고 있는 이 시점에 정보시스템 내에 개인정보를 전혀 수집하지 않거나 저장하지 않고 비즈니스를 수행한다는 것은 거의 불가능한 상황이다. 그러려면 개인정보를 안전하게 유지해야하는 책임감을 우리 모두 가져야 한다.
개인이 자신의 개인정보를 보호해야하는 것이 가장 우선적인 의무라는 점을 인지하고, 올바른 판단에 따라 자기 정보를 제공하는 등 스스로 자기 정보를 통제하고 보호해야 한다.
국회에 계류 중인 법 제정이 시급한 가운데 정부는 '규제를 위한 규제'보다는 기업들이 개인정보보호 활동을 잘 운영할 수 있도록 도와주는 '조력자의 역할'을 수행해야 한다. 이를테면 현재 이슈가 되고 있는 인터넷 상에서의 본인 인증 방안, 저장데이터의 암호화 방안 등에 대한 현실적이고 효과적인 기법을 연구해 제시해야 할 것이다. 여기에다 RFID 등 신기술 적용과 관련해 제도적인 방향 제시 및 개인정보보호 가이드 등을 기업에 제시하는 것도 필요하다.
지난 해 7월 제정 발표된 방통위의 정통망법 시행이 4개월 앞으로 다가왔다. 현재 계류 중인 개인정보보호법이 올해 내 통과되면, 법률 적용 대상이 되는 기업군은 크게 확대되고, 개인정보 보호의 의무에 소홀한 기업은 사안에 따라 대표이사의 구속 등 강력한 조치가 취해질 것이다.
이에 따라 기업/기관은 사업의 연속성 등을 위해 정보의 사용과 정보의 보호 간의 균형점을 설정해, 투자 계획을 수립하고 집행해야 한다. 개인정보 유출에 따른 정부의 행정 처분, 대외 신뢰성 저하, 손해배상 관련 비용 부담 등 경영 위험관리 관점에서의 인식과 투자 노력이 필요하다. 안전한 개인정보 취급이 미래 정보화 사회로 나아가는 중요한 요소임을 인식하고, 정부, 기업, 개인 등의 이해관계자가 적극적인 문제 해결에 나서야 할 때이다.
오자영 이사/SK인포섹 지식컨설팅사업본부
ojyda@skinfosec.co.kr