주민번호 연계 안되는 시스템 전환 필요
[세종=뉴스핌] 이경태 기자 = 최근 발생한 LGU+의 개인정보 유출 사건으로 개인정보 안전불감증이 대두되고 있다. 개인정보 유출 사건은 어제오늘 일이 아닐 정도로 빈번한데, 정부 정책은 사건 수습에만 초점이 맞춰졌다는 지적을 받는다. 실제 2차 피해까지 발생되지 않는 시스템 구축이 필요하다는 목소리가 높아지는 이유다.
◆ 반복되는 개인정보 유출 사건 속 정부 정책은 '겉핥기' 여전
개인정보보호위원회는 최근 ㈜LGU+에 대해 사실조사 과정에서 당초 신고한 유출 건수 21만명에 이어 8만명이 추가로 발견돼 모두 29만명의 개인정보가 유출됐다고 지난 6일 밝힌 바 있다.
약 21만 명의 유효 고객 정보가 유출된 것으로 앞서 신고접수됐으나 개인정보위가 지난달 31일 조사과정에서 해지고객 데이터베이스(DB)의 개인정보 8만여건도 유출된 것을 추가로 확인했다.
지난달 LGU+는 사이버 공격을 받아 이같은 개인정보 유출 논란을 빚은 것으로 알려졌다. 더구나 지난달 29일에는 야간시간대 3차례에 걸쳐 63분동안 유선망 접속 장애가 발생했다. 또 지난 4일에도 59분 동안 유선망 접속 장애가 나타난 것으로 알려졌다.
개인정보위는 정보주체의 권리보장을 위해 해지고객에 대한 통지 등이 이행될 수 있도록 조치했고 고객의 성명, 생년월일, 전화번호 외에 또 다른 개인정보 유출이 있었는지를 면밀히 조사 중이다. 또 이번 개인정보 유출 건과 관련해 조사관도 추가 투입하는 등 정확한 유출규모 및 유출 경위 등을 조사 중이다.
과학기술정보통신부도 지난달 꾸린 민관합동조사단을 '특별조사점검단'으로 격상·강화해 지난 6일부터 강도 높은 조사에 나섰다. 특별조사단은 종합적인 개인정보 침해 여부와 원인을 살펴보고 조치 방안과 개선 대책을 마련할 계획이다.
개인정보 유출에 대한 위법 사항이 발견되면 과태료와 과징금 처분을 받아야 한다. 실제 위반행위와 관련된 매출액의 3% 이하의 과징금을 납부해야 한다.
그러나 문제는 정부 정책이 규제를 강화하기 보다는 완화에 초점이 맞춰졌을 뿐더러 위반 행위의 중대성 여부도 기업 친화적으로 판단될 수 있다는 데 있다.
IT업계 한 관계자는 "데이터, 인공지능(AI)시대 속에서 산업을 키우기 위해 개인정보를 더 많이 수집해야 하고 많은 데이터가 개인정보와 무관하지 않다"며 "정부 정책 역시 산업을 확대하는 차원에서 개인정보에 대한 규제를 줄이는 쪽으로 선회하고 있는 모습"이라고 말했다.
그는 이어 "앞으로의 산업은 개인정보를 동반한 데이터를 '원유' 개념으로 생각해야 하기 때문에 이런 유출 사건은 빈번해질 것"으로 내다봤다.
뿐만 아니라 개인정보 유출에 대한 과태료와 과징금 수준을 강화하려는 움직임이 정부와 정치권에서도 포착되지만 실제 이를 반영한 처분을 내리기는 쉽지 않다는 지적도 제기된다.
행정 처분을 담당하는 개인정보위는 개인정보가 유출된 사건에 대해 ▲매우 중대한 행위 ▲중대한 행위 ▲보통위반 행위 등으로 구분한다. 중대한 행위 이상의 처분을 내리기 위해서는 고의중과실, 직접적 이득 행위 여부, 피해 규모, 공중 노출 여부 등이 종합적으로 검토된다.
그렇더라도 기업이 정부가 제시한 개인정보보호 가이드라인을 준수했다면 쉽게 처벌을 할 수 없는 구조로 돼 있다.
최근에도 A 통신사의 개인정보 유출 사건에 대한 최종 판결은 '소송 취하'로 끝나는 등 통신사의 혐의가 없는 것으로 결정이 난 것으로도 알려진다.
개인정보위 관계자는 "위반행위에 대한 고시에 따라 중대성을 판단해서 처분 수위를 결정한다"며 "피해 규모 등을 사전적으로 정하지 않고 실제 처분할 때 여러 사안을 고려해서 판단한다"고 말했다.
◆ 과징금 올리기에 앞서 구글식 개인정보 2차피해 방지책 절실
그동안 개인정보 유출 등 개인정보보호법 위반에 대한 과태료·과징금 규모가 적어 솜방망이 처벌이라는 지적이 이어졌다. 이렇다보니 개인정보 유출 사고는 빈번하게 발생된 것으로 알려진다.
전국민의 개인정보를 나눠 보유하다시피 한 이동통신사의 개인정보 유출 사고는 주기적으로 발생된 것으로 전해진다. 여기에 금융기업, IT 기업 등에서 지속적으로 개인정보가 유출되고 있다는 게 데이터업계의 얘기다.
이와 관련 정부와 정치권에서는 개인정보 유출에 대한 과징금을 상향해 기업이 스스로 개인정보 보호에 앞장설 수 있도록 유도한다는 데 초점을 맞추고 있다.
다만 이같은 접근 방식은 근본적인 해결책이 아니라는 지적이 끊이질 않고 있다. 2차 피해를 막을 수 있는 대안이 아니기 때문이다.
글로벌 IT공룡 기업인 '구글'의 경우, 전세계에 가입자를 두고도 2차 피해에 대한 논란이 상대적으로 적은 것으로 알려진다.
윤철한 경제정의실천시민연합 기획연대국장은 "예전과 달리 최근에는 기업이 개인정보를 유출했더라도 소비자의 2차 피해를 인정하지 않는 부분"이라며 "결국 과태료나 과징금을 내더라도 피해 보상으로 이어지는 것은 쉽지가 않다"고 지적했다.
윤 국장은 근본적인 해결책을 '주민번호'로 연결된 개인정보 체제에서의 전환으로 봤다. 그는 "요즘에는 그나마 주민번호를 직접 기입하지 않아도 되지만 인증 과정에서 휴대전화 등 모두 연결이 됐고 그 과정에서 주민번호까지 연계가 되다보니 여전히 2차 피해의 위험이 높다"며 "실제 2개 기업에서 제공한 일반적인 개인정보를 공유받을 경우, 주민번호를 확인하는 것은 어렵지 않은 상황"이라고 전했다.
그러면서 그는 "기업들이 무분별하게 개인정보를 수집하는 것을 제한해야 하고 수집했더라도 최소한의 정해진 용도에만 활용하도록 해야 한다"며 "또 소비자들이 자신의 개인정보가 어떻게 사용되는 지 보다 구체적으로 알려줄 필요가 있다"고 덧붙였다.
이런 분위기 속에서 정치권 역시 개인정보 보호를 위한 개인정보보호법 개정안을 다수 발의했으나 현재 계류된 법안은 50건에 달한다.
이 가운데 김한규 더불어민주당 의원이 지난 3일 발의한 개정안에서는 주민등록번호 처리에 대한 대상을 명확히 구분하는 내용이 포함돼 있긴 하다.
정치권 한 관계자는 "산업이 갈수록 디지털화되고 있기 때문에 개인정보를 활용한 사업이 확대될 수밖에 없는 것은 어쩔 수 없다"면서도 "아무래도 정보가 유출이 되면 또다른 피해가 발생할 수 있기 때문에 피해보상이라든지, 2차 피해를 방지할 수 있는 인증 시스템이 촘촘하게 마련될 필요는 있다"고 전했다.
biggerthanseoul@newspim.com
