.gif)
이정문 의원, 개인정보 유출 기업의 사후 책임 강화하는 법안 발의
개인정보 유출 기업에 2년간 유출정보 모니터링 및 불법유통 시 고발 의무화
SKT USIM 정보 유출 사고 등 대규모 개인정보 유출 인한 2차 피해 막는 법안
[보안뉴스 성기노 기자] 이번 SKT 대규모 해킹 사태는 소비자들의 개인정보 주권 확립에 심대한 영향을 미쳤다. 무엇보다 충격적인 것은 통신사라는 가장 민감한 개인정보를 다루는 2500만 가입자 1위 기업조차 해킹에 속수무책이었다는 사실이다. 주민등록번호, 주소, 통화내역은 물론이고 유심(USIM) 정보까지 유출되면서 이제는 단순한 사생활 침해 수준을 넘어 금융범죄, 위치추적, 사칭범죄 등 2차 피해로 직결될 수 있는 상황이 현실화된 것이다.
▲SKT 이용자들이 유심을 교체하기 위해 긴 대기줄을 형성하고 있다. [자료:연합뉴스]
더 큰 문제는 통신사가 메인 서버를 ‘털리고‘ 난 후의 사후 대책이다. 기업의 대응은 언제나 진정성 없는 ‘사과‘와 ‘재발 방지’라는 공허한 수사로 일관하고 있다. 특히 대규모로 털린 개인정보가 다크웹 등 불법 거래 사이트를 통해 유통돼도 국민들은 그것에 대해 ‘깜깜이’일 수밖에 없다.
통신사는 사과하고 벌금만 대충 내면 그만이지만 개인정보와 유심까지 털린 국민들은 그 후에도 ‘평생’ 2차 범죄에 무방비로 노출될 수밖에 없다. 기업은 물론 소비자들의 2차 피해에 대해서는 나 몰라라 한다. 개인정보 유출 뒤 그것이 어떤 범죄에 구체적으로 이용됐다는 것을 ‘과학적’으로 검증되지 않는 한 소비자들은 피해를 당하고도 구제를 받거나 보상을 받을 길이 없다.
이런 통신사의 ‘사후 무대책’에 대한 의무적 대응 마련이 국회에서 법제화되고 있다. 더불어민주당 이정문 의원(천안 병, 정무위원회)은 5월 1일 개인정보 유출 기업과 기관의 사후 책임을 강화하는 ‘개인정보 보호법’ 일부개정법률안을 대표발의했다.
최근 발생한 2500만 명의 가입자를 보유하고 있는 SK텔레콤의 USIM 정보 유출 사고와 같이 대규모 개인정보 유출 사고가 반복적으로 발생하고 있으며 유출된 국민의 개인정보가 다크웹 등 불법 거래 사이트를 통해 유통되면서 국민의 일상생활과 재산권에 심각한 2차 피해로 이어지고 있다.
그러나 현행 ‘개인정보 보호법’에는 유출된 개인정보의 불법유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무는 없어 기업과 공공기관들의 사고 후 대응이 미흡한 실정이다.
유출정보 모니터링 미이행 또는 보고 위반시 3천만원 과태료
이에 이번 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담고 있는데 구체적으로 보면 △1천명 이상의 정보주체에 관한 개인정보 유출 △민감정보, 고유식별정보 유출 △개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화하였다. 모니터링 미이행 또는 보고 의무 위반 시 3천만원 이하의 과태료 부과 조치도 마련했다.
또한 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발하도록 하고 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 시 개인정보보호위원회 등 전문기관에 신고할 수 있는 법적 근거를 마련했다.
이정문 의원은 이에 대해 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다”며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다.
또한 이 의원은 “개인정보를 수집하는 기업과 공공기관은 정보의 안전한 보호뿐만 아니라, 유출사고 발생 시 사후 확산 방지에도 책임을 다해야 한다”며 “이번 개정안을 통해 SK텔레콤의 대규모 개인정보 유출 초기 대응실패와 무책임한 대응과 같은 상황을 방지하여 국민의 피해를 최소화하는 데 기여할 것”이라고 강조했다.
이번 SKT 대규모 해킹 사태는 개인정보와 유심정보가 유출된 것도 문제이지만 사고 유발자인 통신사가 어떻게 대책을 마련하고 국민들이 2차 피해를 입지 않도록 해야 하느냐에 대한 본질적인 의제도 반드시 해결해야 한다는 지적이 많다.
“개인정보는 기업 소유가 아니라 소비자의 권리” 인식 전환 필요
내 돈 내고 통신사 서비스를 이용하는데 을의 입장에서 내 범죄피해 사실을 ‘과학적’으로 증명해야 눈물만큼 보상을 받을 수 있는 게 현실이라면 이는 소비자들의 개인정보 주권이 심각하게 침해된 것이다.
이런 점에서 이번 SKT 해킹 사건은 개인정보를 기업에 위임하는 구조 자체에 근본적인 물음을 던진다. 과연 우리는 개인정보를 믿고 맡길 수 있는가? 지금까지는 기업이 데이터를 ‘보관’하고 ‘관리’하는 자로 인식됐다면 이제는 소비자가 자신의 정보를 ‘통제’하고 ‘철회’할 수 있는 권리를 실질적으로 행사할 수 있도록 법과 제도가 바뀌어야 한다.
또한 통신사의 귀책 사유로 해킹이 발생했다면 그에 따른 2차 피해에 무방비로 노출된 국민들의 ‘통신 안전’을 위해 사고 유발회사가 끝까지 책임을 지고 보상과 사후 관리를 해야 한다. 이번에 이정문 의원이 긴급발의한 개인정보보호법 일부개정법률안은 기업의 사후 ┖무대책┖에 법적 제재를 가하는 전환점이 될 것이다.
결국 이번 사태는 개인정보 주권을 선언적으로만 언급해온 한국 사회에 실질적인 제도 개혁을 요구하는 경종이다. 정부가 통신사 기득권 카르텔에 휘둘리고 국민들의 ‘통신 주권’이 침해당하고 천문학적인 피해마저 입는 불합리한 행태가 반복된다면 정부로서의 존재 의미는 없다. “개인정보는 기업의 소유가 아니라 소비자의 권리”라는 인식의 대전환 없이는 우리는 또 다시 다음 해킹의 피해자가 될 수밖에 없다.
[성기노 기자(kino@boannews.com)]
개인정보 유출 기업에 2년간 유출정보 모니터링 및 불법유통 시 고발 의무화
SKT USIM 정보 유출 사고 등 대규모 개인정보 유출 인한 2차 피해 막는 법안
[보안뉴스 성기노 기자] 이번 SKT 대규모 해킹 사태는 소비자들의 개인정보 주권 확립에 심대한 영향을 미쳤다. 무엇보다 충격적인 것은 통신사라는 가장 민감한 개인정보를 다루는 2500만 가입자 1위 기업조차 해킹에 속수무책이었다는 사실이다. 주민등록번호, 주소, 통화내역은 물론이고 유심(USIM) 정보까지 유출되면서 이제는 단순한 사생활 침해 수준을 넘어 금융범죄, 위치추적, 사칭범죄 등 2차 피해로 직결될 수 있는 상황이 현실화된 것이다.
▲SKT 이용자들이 유심을 교체하기 위해 긴 대기줄을 형성하고 있다. [자료:연합뉴스]
더 큰 문제는 통신사가 메인 서버를 ‘털리고‘ 난 후의 사후 대책이다. 기업의 대응은 언제나 진정성 없는 ‘사과‘와 ‘재발 방지’라는 공허한 수사로 일관하고 있다. 특히 대규모로 털린 개인정보가 다크웹 등 불법 거래 사이트를 통해 유통돼도 국민들은 그것에 대해 ‘깜깜이’일 수밖에 없다.
통신사는 사과하고 벌금만 대충 내면 그만이지만 개인정보와 유심까지 털린 국민들은 그 후에도 ‘평생’ 2차 범죄에 무방비로 노출될 수밖에 없다. 기업은 물론 소비자들의 2차 피해에 대해서는 나 몰라라 한다. 개인정보 유출 뒤 그것이 어떤 범죄에 구체적으로 이용됐다는 것을 ‘과학적’으로 검증되지 않는 한 소비자들은 피해를 당하고도 구제를 받거나 보상을 받을 길이 없다.
이런 통신사의 ‘사후 무대책’에 대한 의무적 대응 마련이 국회에서 법제화되고 있다. 더불어민주당 이정문 의원(천안 병, 정무위원회)은 5월 1일 개인정보 유출 기업과 기관의 사후 책임을 강화하는 ‘개인정보 보호법’ 일부개정법률안을 대표발의했다.
최근 발생한 2500만 명의 가입자를 보유하고 있는 SK텔레콤의 USIM 정보 유출 사고와 같이 대규모 개인정보 유출 사고가 반복적으로 발생하고 있으며 유출된 국민의 개인정보가 다크웹 등 불법 거래 사이트를 통해 유통되면서 국민의 일상생활과 재산권에 심각한 2차 피해로 이어지고 있다.
그러나 현행 ‘개인정보 보호법’에는 유출된 개인정보의 불법유통을 추적하고 확산을 방지하는 사후 조치에 대한 의무는 없어 기업과 공공기관들의 사고 후 대응이 미흡한 실정이다.
유출정보 모니터링 미이행 또는 보고 위반시 3천만원 과태료
이에 이번 개정안은 일정 규모 이상의 개인정보 유출 사고 발생 시 기업에 추가적인 의무를 부과하는 내용을 담고 있는데 구체적으로 보면 △1천명 이상의 정보주체에 관한 개인정보 유출 △민감정보, 고유식별정보 유출 △개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화하였다. 모니터링 미이행 또는 보고 의무 위반 시 3천만원 이하의 과태료 부과 조치도 마련했다.
또한 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발하도록 하고 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 시 개인정보보호위원회 등 전문기관에 신고할 수 있는 법적 근거를 마련했다.
이정문 의원은 이에 대해 “개인정보 유출로 인한 피해는 단순히 유출 자체에서 그치지 않고, 2차·3차 피해로 확산되는 경우가 많다”며 “기업과 공공기관들이 개인정보 유출 이후에도 지속적으로 유출된 정보에 대한 책임을 지고 사후 관리를 철저히 하도록 하는 것이 개정안의 취지”라고 밝혔다.
또한 이 의원은 “개인정보를 수집하는 기업과 공공기관은 정보의 안전한 보호뿐만 아니라, 유출사고 발생 시 사후 확산 방지에도 책임을 다해야 한다”며 “이번 개정안을 통해 SK텔레콤의 대규모 개인정보 유출 초기 대응실패와 무책임한 대응과 같은 상황을 방지하여 국민의 피해를 최소화하는 데 기여할 것”이라고 강조했다.
이번 SKT 대규모 해킹 사태는 개인정보와 유심정보가 유출된 것도 문제이지만 사고 유발자인 통신사가 어떻게 대책을 마련하고 국민들이 2차 피해를 입지 않도록 해야 하느냐에 대한 본질적인 의제도 반드시 해결해야 한다는 지적이 많다.
“개인정보는 기업 소유가 아니라 소비자의 권리” 인식 전환 필요
내 돈 내고 통신사 서비스를 이용하는데 을의 입장에서 내 범죄피해 사실을 ‘과학적’으로 증명해야 눈물만큼 보상을 받을 수 있는 게 현실이라면 이는 소비자들의 개인정보 주권이 심각하게 침해된 것이다.
이런 점에서 이번 SKT 해킹 사건은 개인정보를 기업에 위임하는 구조 자체에 근본적인 물음을 던진다. 과연 우리는 개인정보를 믿고 맡길 수 있는가? 지금까지는 기업이 데이터를 ‘보관’하고 ‘관리’하는 자로 인식됐다면 이제는 소비자가 자신의 정보를 ‘통제’하고 ‘철회’할 수 있는 권리를 실질적으로 행사할 수 있도록 법과 제도가 바뀌어야 한다.
또한 통신사의 귀책 사유로 해킹이 발생했다면 그에 따른 2차 피해에 무방비로 노출된 국민들의 ‘통신 안전’을 위해 사고 유발회사가 끝까지 책임을 지고 보상과 사후 관리를 해야 한다. 이번에 이정문 의원이 긴급발의한 개인정보보호법 일부개정법률안은 기업의 사후 ┖무대책┖에 법적 제재를 가하는 전환점이 될 것이다.
결국 이번 사태는 개인정보 주권을 선언적으로만 언급해온 한국 사회에 실질적인 제도 개혁을 요구하는 경종이다. 정부가 통신사 기득권 카르텔에 휘둘리고 국민들의 ‘통신 주권’이 침해당하고 천문학적인 피해마저 입는 불합리한 행태가 반복된다면 정부로서의 존재 의미는 없다. “개인정보는 기업의 소유가 아니라 소비자의 권리”라는 인식의 대전환 없이는 우리는 또 다시 다음 해킹의 피해자가 될 수밖에 없다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
