지난 3일 코엑스에서 열린 국제 개인정보보호 심포지움 Privacy Global Edge 2012 마지막 시간에 “개인정보보호 애정남: 애매한 것을 정해드립니다”라는 주제로 패널 토의가 열렸다. 이날 참석한 500여 명의 참관객들 대부분이 패널들의 한마디 한마디에 귀를 기울였다.
 
패널토의에 참가한 패널로는 한순기 행안부 개인정보보호과장, 김광수 방통위 과장, 전응준 유미 법률사무소 변호사, 박진식 법무법인 넥스트로 변호사, 유창하 다음커뮤니케이션 본부장이 참석했고 사회는 이경호 고려대 교수가 맡았다.
 
이경호 교수는 “개인정보보호 정책 입안부서와 시행부처 책임자들이 모두 나온 자리는 이번이 처음이다. 거기에 소송을 진행한 변호사와 기업 법무담당자까지 나왔다”며 “그동안 애매하다고 생각했던 10가지 주제를 정해 패널들과 애매함을 해소하는 시간을 가지길 바란다”고 서두를 시작했다.

 
◇아이디는 개인정보인가=첫번째 주제로 아이디는 개인정보인가였다.  
한순기 과장은 “개인정보는 살아있는 개인을 식별하는 정보를 말하는데 다른 정보와 조합해서 식별할 수 있다면 개인정보에 속한다”며 “아이디는 기업에서 특정 개인을 식별할 수 있는 정보이기 때문에 개인정보에 해당한다”고 답했다.
 
박진식 변호사는 “2006년 리니지 정보유출 판례에서 대법원 판결이 났다. 당시 쟁점 사항이 바로 아이디가 개인정보인가였다. 대법원에서도 아이디는 익명성이 있지만 사이버 공간에서는 개인을 식별할 수 있는 정보라고 판결했다. 정통망법에서도 아이디는 개인정보로 분류하고 있다”고 설명했다.
 
◇위치정보 보호에 대한 여러가지 논란=다음은 단순위치정보가 보호대상인가였다.
김광수 과장은 “민감한 위치정보는 위치정보보호법이라는 특별법으로 보호하고 있다. 개인 위치정보의 정의는 2가지다. 개인을 식별할 수 있는 위치정보와 개인과 연관시킬 수 있는 사물의 위치정보다. 모두 보호대상이 되고 있다”며 “반면 단순위치정보는 동의나 보호절차를 없애야 한다는 목소리가 높다. 스마트폰 위치정보 정도에 대한 의견들이 분분하다. 하지만 내 스마트폰 정보를 누가 가져가고 있느냐 정도는 이용자도 알아야 할 권리가 있다. 개정 추진중이며 다소 완화하는 방법으로 추진중”이라고 밝혔다.
 
전응준 변호사는 “위치정보는 이동성이 있는 물건과 개인위치가 식별되는 정보, 식별안되는 정보 3가지로 분류된다. 개인위치정보는 엄격히 보호돼야 하지만 이동성 물건과 개인식별이 안되는 위치정보에서 동의 의무를 풀어줄 것이냐가 관건”이라며 “이 세가지 위치정보에 대한 정확한 범위가 검토돼야 한다. 특히 개인 식별이 안되는 개인위치정보에 대해 어디까지 보호해야 하는지 명확하지 않다”고 말했다.
 
이어 전 변호사는 “현재는 모든 위치정보에 기술적 관리적 보호조치를 해야 하는 상황이다. 개인과 관계없는 정보에 대해 기술적 관리적 보호조치, 암호화 등은 불필요한 낭비를 발생시키고 있다”며 “전반적인 틀이 시정돼야 한다”고 강조했다.
 
유창하 본부장은 “개인식별이 안되는 정보에 대해서는 법이 완화돼야 한다. 스마트폰을 대부분 사용하고 있는 상황에 기업에서 스마트폰 위치파악으로 거기에 맞는 서비스를 제공하고 싶어도 현재는 처벌을 받을 상황”이라며 “보호주체가 식별되지 않는데 어떻게 동의를 받아야 하는지, 또 개인이 특정되지 않아도 GPS에서라도 동의없이 수집하면 처벌을 받는 상황이라 이 부분에 대한 합리적 개정이 필요할 것”이라고 기업입장에서 어려움을 토로했다.
 
반면 김광수 과장은 “앱을 통해 스마트폰 위치정보를 수집하는 것이 특정 개인의 위치정보를 식별하는 것이 아니라 할지라도 스마트폰은 사유화된 물건이다. 스마트폰으로부터 나오는 정보가 수집되는 것을 이용자가 인식할 필요는 있다고 본다”며 “다양한 보호조치는 하지 않더라도 정보주체에 알리는 것이 타당하다. 법이 개정되더라도 동의를 받아야 한다는 부분은 수정되지 않을 것”이라고 밝혔다.
 
◇고시만 지키면 선관주의 다한 것인가=다음 주제는 선량한 관리자의 주의 의무는 어디까지 인가였다.
 
전응준 변호사는 “개보법과 정통망법에서 고시를 통해 기술적 보호조치 기준을 고시하고 있다. 하지만 고시를 미준수했다고 선관주의를 어겼다고 할 수 있을까. 또 준수했다고 해서 의무를 다한 것인가는 아직 애매한 부분”이라며 “실무상에서는 불가항력 개념이 있다. 이때 사업자가 고시 기준을 지켰다면 불가항력이라고 주장할 수 있다. 면책논리를 가동한 것이다. 하지만 해커들이 해킹을 한 것이 과연 불가항력인지 구분하기도 힘든 점이 있다. 선관주의와 불가항력에 대한 고민이 있어야 한다”고 말했다.
 
박진식 변호사는 “소송에서 실제로 선관주의를 위반했다는 것은 쉽게 표현하면 과실이 있다는 것이다. 실제 소송에서도 선관주의 다했지만 어쩔 수 없는 불가항력의 공격이었는지 아니면 과실인지를 판별하는 것이 핵심”이라고 설명했다.
 
전응준 변호사는 “법원에서는 고시를 참조할 수밖에 없을 것이다. 고시는 최소한의 규정이라고 봐야 한다”며 “하지만 모든 사업자가 최소한의 고시라도 준수하고 있는지 생각해 봐야 한다”고 지적했다.
 
김광수 과장은 “40만개 온라인 사업자 중에 60% 정도는 최소한 기준인 기술적 보호조치를 전혀 지키고 있지 않다. 반면 수천만명의 개인정보를 가지고 있는 기업들이 고시만 지킨다고 주의 의무를 다했다고 볼 수 없다”며 “고시는 현재 가장 낮은 필수적 수준이다. 이제 법원에서도 고시 기준을 준수했다고 선관주의 다했다고 보지 않는다. 좀더 노력을 기울여야 할 것”이라고 말했다.
 
이경호 교수는 “선량해지려고 최소한만 규정하고 있는 고시만 지키겠다는 것은 결국 불량한 것이 된다”고 덧붙였다.  
 
◇유출통지는 어떻게 해야 하나=다음은 유출시 통지는 어떻게 해야 하나이다.
 
김광수 과장은 “개보법에서는 1만건 이상 유출시 의무적으로 통지제도를 부과하고 있고 망법은 최근까지 의무조항 없었다가 지난해 말에 유출통지제도가 새롭게 추가됐다”며 “망법 초안에는 1건이라도 유출된다면 당사자에게 통지해야 한다로 돼 있다. 건수가 중요한 것이 아니다. 유출된 정보로 직접적 피해들이 발생할 수 있기 때문”이라고 말했다.
 
박진식 변호사도 “유출 건수가 중요한 것이 아니다. 해킹에 의한 사고라면 대부분 DB를 가져가기 때문에 사고를 당했다면 전체 DB가 나갔다고 봐야 한다. 그런 사례도 있었기 때문에 건수를 따져서 통지를 하는 것은 맞지 않다. 전체에게 통지해야 한다”고 강조했다.
 
◇법에서 ‘즉시’란 며칠을 말하는가=또 법상에서 ‘즉시’는 며칠을 말하는 것인지 애매하다는 것이다.
 
한순기 과장은 “즉시라는 단어는 개보법에서 3번 정도 나온다. 출처고지 의무는 3일로 규정하고 있고 법 위반사실은 즉시로 봐야 한다. 지체없이는 하위법령 지침 등에서 1주일, 5일, 3일 등으로 규정하고 있다. 3일은 영업일 기준”이라고 설명했다.
 
김광수 과장은 “탈퇴자 개인정보를 즉시 파기해야 한다는 규정에 대해서도 말이 많다. 하지만 어디까지 삭제해야 하는지는 사업자들이 더 잘 알 것”이라며 “탈퇴자 관리 쉽지 않겠지만 생각지 않은 부분에서 노출이나 악용사례가 생길 수 있다. 시간을 투자해 삭제하려는 노력을 기울어야 한다”고 강조했다.
 
또 출력물 승인제도에 대해서 김광수 과장은 “망법 고시에 지난해 출력물 사전승인제도 의무가 기업 프로세스상 사전승인이 적절하지 않다는 의견들이 많아 고시가 개정됐다. 의무가 삭제됐다”고 설명했다.
 
◇정신적 배상판결, 필요한가=또 정보유출시 개인에 대해 정신적 배상이 반드시 필요한가라는 부분이다.
 
박진식 변호사는 “법원에서는 정보유출에 대해 재산적 손해에 대해서는 그 인과 관계를 인정하지 않고 있다. 인과관계를 증명하기가 거의 불가능하기 때문”이라며 “그래서 정신적 손해배상이 필요한 것이고 망법에서도 정신적 손해배상을 인정하고 있다”고 말했다.
 
반면 전응준 변호사는 “개인정보에 대한 가치평가가 금액적으로 환산할 필요가 있다. 지금 전국민의 정보가 유출된 상황에서 한번 더 유출되는 것이 얼마나 큰 영향을 미치는지도 생각해 봐야 한다”며 “평균적으로 국내에서는 10만원, 미국에서는 100달러 정도로 배상액을 보고 있는데 유출자가 많으면 엄청난 규모의 금액이다. 막대한 규모의 손해배상 제도가 맞는지 생각해 봐야 할 것”이라고 말했다.
 
이외에도 직원정보와 고객 정보는 어느 법에 적용될까란 의문에 전체적으로 법의 보호를 받아야 하는데 정통망법 적용 사업자는 직원은 개인정보보호법, 고객은 망법 적용을 해야 한다고 패널들은 말했다.
 
◇암호화=암호화에 대한 의문점에 대해서 한순기 과장은 “위험도 분석결과에 따라 암호화를 결정하면 된다”고 설명했고 김광수 과장은 “암호화의 목적은 정보유출이 되더라도 피해 발생하지 않도록 하자는 것”이라며 “어떤 사업자든 정보별로 다른 DB에 저장하지 않을 것이다. 모든 개인정보는 하나에 저장될 것이다. 주민번호, 카드번호 등 암호화를 하는 방향으로 노력해야 한다”고 말했다.
 
◇유출 신고는 KISA로=또 개인정보 유출시 개보법은 1만건이 기준이고 망법은 1건이 기준이 되는데 기업들이 혼란스러울 수 있고 어디에 신고를 해야 하는지도 애매하다는 기자의 질문에 한순기 과장은 “개보법에는 1건이라도 유출이 되면 당사자에게는 통지해야 하고 1만건이 발생했을 때 KISA에 신고하면 된다”고 말했고 김광수 과장은 “온라인 사업자에게만 망법이 적용된다. 망법은 1건이라도 발생하면 통지는 물론 신고해야 한다. 망법 적용사업자든 개보법 적용사업자든 신고할 때는 한국인터넷진흥원에 신고하면 해결될 것”이라고 설명했다.
[데일리시큐=길민권 기자]