.gif)
개인정보 침해문제, 전 사회적 차원의 위험관리 방안으로 모색되어야
스스로 자기 정보를 통제·보호하려는 의지가 가장 중요
[보안뉴스=조규민 KISA 개인정보안전단장] 지난해 9월 공공 및 민간분야를 아우르는 개인정보보호법이 본격 시행되었다. 이에 따라 개인정보 처리와 관련한 많은 것들이 크게 달라졌다.
우선 종전에는 공공기관을 비롯해 정보통신서비스제공자, 신용정보회사 등 특정 분야 약 50만 사업자에 개인정보보호 의무가 선별 적용되었으나, 법 시행으로 인해 제조업, 서비스업,1인 사업자,각종 협회·동창회·동호회 등 약 350만명으로 추산되는 모든 개인정보 처리자가 법의 수범대상이 되었다. 지켜야 할 의무사항도 대폭 늘었다. 개인정보를 수집·이용할 경우 원칙적으로 정보주체의 동의를 얻어야 한다. 정보수집의 목적이 달성되면 수집된 정보는 즉시 파기해야 한다. 또 주민등록번호 등 민감한 정보는 암호화해 보관 및 전송해야 한다.
개인정보 암호화, 접근통제 등 기술적 조치도 해야 한다. 공개된 장소에 CCTV를 설치할 경우에는 안내판 설치, 처리방침 등을 마련해야 한다. 이렇듯 많은 의무를 이행하기 위해서는 인적·물적 비용이 수반되므로 기업 입장에서는 당연히 볼멘소리가 나올 수밖에 없다.
무분별하게 개인정보를 이용하던 사업자들이 개인정보보호법 시행에 따라 그 동안의 개인정보 처리 관행에 대해 대수술을 하고 있다. 그러나 일부 여력이 안 되는 사업자들은 아예 손을 놓고 있기도 하다. 개인정보보호 의무 강화, 도대체 무엇 때문에 이렇게 광범위한 통제에 나선 것일까.
지난 4년간 개인정보침해건수 1억 600만여 건에 달해
최근 몇 년간 우리는 크고 작은 개인정보 침해사고를 경험했다. 이미 전 국민의 개인정보가 한번씩은 유출 당했다고 해도 과언이 아닐 것이다. 정유사, 게임사, 금융사, 인터넷쇼핑몰 등 대량으로 개인정보를 취급하는 곳에서 주로 개인정보 유출사고가 일어났으며, 특히 작년에는 SK컴즈에서 3,500만 개인정보가 유출되는 초대형 사고가 발생해 다시 한번 개인정보 보호의 필요성이 대두되기도 했다.
방송통신위원회에 따르면, 지난 4년간 연이은 대형침해사고 발생으로 인한 개인정보침해건수가 1억 600만여 건에 이른다고 한다. 최근 들어서는 페이스북, 트위터 등 이른바 소셜네트워크서비스(SNS)를 통한 개인정보 침해도 눈에 띄게 늘고 있다.
이러한 원인은 그 동안 개인정보보호에 관한 인식이 높지 않았던 것이 큰 부분을 차지한다. 기업들은 이윤추구를 위하여, 그리고 서비스 제공시 편의를 위하여 개인정보를 무분별하게 수집하고 이용해 왔다. 정보 자체가 가치가 되면서 개인정보를 얼마나 많이 갖고 있느냐도 사업의 성패에 중요한 요소가 되었다. 그러나 개인정보를 수집하는 것에만 관심이 있고, 수집한 개인정보의 관리에 대해서는 크게 신경 쓰지 않았다. 국내 업체들은 회원 가입을 유도할 때는 온갖 개인정보를 요구하면서도 정작 개인정보 보호에 관한 방안 마련에는 소홀했던 것이 사실이다. 보안 실패가 초래한 부작용은 회원에게 고스란히 떠넘겨지고 있다.
물론 개인정보 보호를 위해 유출방지 시스템을 도입하는 사업자도 늘어나고 있지만 아직도 대부분의 사업자들은 개인정보보호를 위한 투자에 인색하다. 한국인터넷진흥원의 2011년 정보보호실태조사에 따르면, 사업체의 62.6%가 2010년 1년 동안 정보보호에 대한 지출이 없었던 것으로 조사되었다. 1% 미만이라고 답한 사업체의 비율도 20.3%에 이른다. 놀라운 것은 연일 터지는 대규모 보안사고를 목격했음에도 불구하고 정보보호 투자를 하지 않는 이유에 대해 53.9%가 ‘필요성을 못 느끼기 때문’이라고 답했다. 여전히 정보보호를 불필요한 비용으로 인식하고 있는 것이다.
그러나 정보보호에 대한 투자를 여전히 비용 지출로 인식하고, 정보보호에 대하여 지속적인 관심을 갖지 않는다면 기업을 목표로 하는 해킹 사고는 계속 일어날 것이며, 허술한 보안체계를 갖춘 기업일수록 범죄자들에게 먹잇감이 될 가능성이 높다. 정보주체들도 문제가 없지 않다. 사업자들이 개인정보를 미끼로 내놓는 사은품이나 경품을 손쉽게 얻기 위해 개인정보를 고민 없이 제공하는 경우도 많았다.
최근에는 개인정보 침해사고의 발생빈도가 높아지면서 정보주체들의 정보보호 인식수준도 높아진 것으로 보인다. 앞서 말한 2011년 개인부문 정보보호 실태조사에서 국내 인터넷 이용자의 97.4%가 정보보호가 중요하고, 95.1%가 인터넷 역기능으로 인한 문제가 심각하다고 답했다.
이용자들의 개인정보보호에 대한 인식수준이 높아짐에 따라 개인정보침해 신고건수도 크게 늘어 한국인터넷진흥원의 조사에 따르면 지난해만 5만여 건이 넘는 침해신고가 접수되었다.
그동안 우리 사회에서는 정보주체 개인에게 이용하는 웹페이지상의 비밀번호를 바꾸거나 개인정보 제공시 신중해야 한다고 권고하는데 그친 게 사실이다. 사실상 개인정보 침해에 대한 위험을 정보주체에게 맡겨왔다고 해도 과언이 아닐 만큼 안일하게 대처한 측면도 있다. 그러나 회원 아이디와 비밀번호를 바꾸는 것만으로 문제가 끝나는 것은 아니다.
개인정보 침해문제, 전 사회적 차원의 위험관리 방안으로 모색되어야
개인정보 침해문제는 단순한 정보주체 개인의 문제로 국한되는 것이 아니다. 개인과 기업, 정부의 각 주체가 포함되어 전 사회적인 위험이 될 수 있다. 각 주체가 개별적으로 개인정보 침해에 대한 위험관리를 해야 하며, 전 사회적 차원의 위험관리 방안이 모색되어야 할 것이다.
상황이 이렇다 보니, 이제 더 이상 개인과 기업에게 개인정보보호를 맡길 수만은 없게 되었다. 물론 이전에도 정보통신, 신용 분야 등 개인정보보호에 대해 법적 규제를 받는 대상이 있었으나, 규제의 사각지대에 놓여있던 분야에서 개인정보 침해사고가 발생할 경우 법적인 제재를 가할 수 없어 규제의 형평 문제, 실질적인 개인정보보호 실현에는 미흡했다. 사회 전반에 개인정보보호에 대한 인식을 고취시키기 위해서는 사회 전 분야를 대상으로 공통적인 최소한의 보호기준을 정하고 의무화할 필요가 있었던 것이다.
물론 개인정보의 활용으로 인한 이익도 무시할 수 없을 것이나, 개인정보를 적정하게 필요한 부분만 수집하고, 수집한 개인정보를 안전하게 관리해야 한다는 것이 먼저 전제되어야 할 것이다. 개인정보 유출사고가 발생할 경우 정보주체로부터 각종 손해배상 소송, 분쟁조정이 이어진다면 유출된 개인정보의 규모에 따라 배상책임만으로도 기업 존립 자체의 위험이 초래될 수도 있다는 점에서 개인정보보호는 장기적으로 기업이 계속적으로 영리활동을 하는데 고려해야할 필수적인 사안이 될 수 있다.
정보화시대에 개인정보의 보호는 가장 중요한 부분이다. 개인의 프라이버시를 존중하고 개인정보자기결정권을 보장해야 함은 물론이며, 개인정보 침해로 인한 2차적인 피해를 고려할 때 그 보호와 통제의 필요성은 더욱 중요해진다. 개인정보에 대한 문제는 단순히 개인에게 국한된 문제가 아니다. 현대사회에서 개인정보는 단순히 개인을 식별하는 차원을 넘는다.
교육, 의료, 신용 등 개인의 신상에 관한 모든 정보를 의미하기 때문에 개인정보가 침해된다면 사회적 안전에도 문제가 발생한다. 개인정보가 유출·도용돼 금융사기 등의 2차 피해를 낳는다면 개인적 손실은 물론 사회·경제적 손실은 막대해질 수 있다. 나아가 이로 인해 국민은 정부와 기업 등을 불신하게 돼 국가적인 손실로 이어질 것이다. 최근 연구결과에 의하면, 개인정보 유출로 인한 사회·경제적 피해가 10조 7천억 원에 달한다고 한다.
이러한 상황에서 정부는 개인정보침해 피해의 심각성과 점차 지능화·대형화되어가는 개인정보 침해시도에 대해 이해하고, 규제 강화 및 사회적 인식 제고를 위한 노력을 계속하고 있다. 제도적인 정비, 실효성 있는 정책 만들기에 고심하고 있는 것이다.
국내외 개인정보보호 규제 강화 움직임
개인정보 수집과 보관에 대해서도 강화된 기준을 마련하고, 개인정보 수집 시에 주민등록번호와 같이 개인 식별정보를 자체적으로 수집하여 보관하는 현재의 기준을 강화하여 법령상 근거가 있는 경우만 수집하도록 엄격한 기준을 제시하고 있다. 또한, 개인정보와 관련하여 침해사고 발생시 처벌 기준을 강화하고, 손해배상 등 피해구제도 정보주체가 손쉽게 할 수 있도록 다양한 방안을 마련하고자 노력하고 있다. 개인정보보호에 관한 규제를 강화하고자 하는 노력은 우리나라만의 일이 아니다. 세계 주요국은 우리와 마찬가지로 개인정보 침해로 인한 피해의 심각성을 인식하고, 법제도 강화를 통해 개인정보를 보호하려는 노력이 이어지고 있다.
중국
중국은 지난해 개인정보 침해사고가 급증했고 이로 인해 개인정보보호 이슈가 공적인 사안이 돼 지난 4월 국민의 개인정보수집 및 처리에 대한 7대 가이드라인을 수립해 발표했다. 중국 공업정보화부가 발표한 ‘공공 및 상용 서비스 정보시스템에 관한 개인정보보호 가이드라인’에 따르면 정보수집에 대한 분명한 목적 명시, 개인정보 수집에 대한 사전 보고, 최소한의 개인 데이터 수집, 개인정보에 대한 보안 구축, 사용자 동의 하에만 개인정보 수집 가능, 수집한 개인정보에 대한 책임 등의 7가지 원칙을 수립한 상황이다.
미국
개인정보와 프라이버시 분야에 대해 폭넓은 논의를 이어온 미국과 EU도 속속 개인정보와 관련한 규제책을 내놓고 있다. 미국은 올해 1월 ‘모바일 디바이스 개인정보보호법’을 제안해 모바일 기기에 개인정보를 모니터링하거나 추적할 수 있는 소프트웨어가 탑재될 경우 사용자에 이를 고지할 의무가 있다고 명시했다. 또한, 지난해 6월에는 인가되지 않은 데이터에 대한 접근 방지 및 개인정보 보유회사의 개인정보 수집목적 달성 후 즉시 파기 등을 골자로 하는 ‘세이프 데이터법’을 제정했다.
유럽연합(EU)
유럽연합(EU)도 올해 1월 27일 개인정보 수집시기, 목적, 방법에 대한 공지 및 데이터 수집 관련 위법시 위반사실을 사용자에게 통보할 것을 명시한 ‘정보보호법’ 개정안을 확정해 27개 회원국에 적용했다.
아시아 국가
최근에는 아시아 지역 국가들도 개인정보보호의 중요성을 인식하고 관련법을 제정하고 있다. 아시아태평양경제협력체(APEC)는 개인정보 및 데이터 보안을 강화하는 내용을 골자로한 ‘온라인 개인정보보호법’을 지난해 11월 발표하고 21개 회원국 지역에 적용하고 있다. 또한, 인도 정보통신기술부도 지난해 8월 개인정보보호법을 개정해 사용자 동의하에 개인정보와 데이터 수집 및 활용이 가능토록 조치했다. 이미 일본은 2003년부터 우리와 같이 공공·민간을 아우르는 개인정보보호법을 제정하여 운영하고 있다.
스스로 자기 정보를 통제·보호해야
새로운 규제나 제도가 도입되면 초기의 혼란은 피할 수 없는 것일 수도 있다. 최첨단 정보화 사회로 치닫고 있는 이 시점에 정보 시스템 내에 개인정보를 전혀 수집하지 않거나 저장하지 않고 비즈니스를 수행한다는 것은 거의 불가능한 상황이다. 그러기 위해서는 개인정보를 안전하게 유지해야 하는 책임감을 우리 모두가 가져야 한다. 개인은 자신의 개인정보를 보호해야 하는 것이 가장 우선적인 의무라는 점을 인지하고, 올바른 판단에 따라 자기 정보를 제공하는 등 스스로 자기 정보를 통제하고 보호해야 한다. 개인뿐만 아니라 공공과 기업 등 사회 전반에서 개인정보보호에 대한 인식 고취가 더욱 필요할 것이다.
[글 _ 조 규 민 한국인터넷진흥원 개인정보안전단장(gmcho@kisa.or.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
