2022-01-20 22:20 (목)
[칼럼] ‘개인정보보호’, 관심만으론 부족…실천의지 중요해
상태바
[칼럼] ‘개인정보보호’, 관심만으론 부족…실천의지 중요해
  • 길민권
  • 승인 2014.07.09 14:28
이 기사를 공유합니다

대부분 개인정보 유출사고, 법에서 보호조치 요구하는 범주 내에서 발생해
[KISA 김호성 팀장 (사진)] 2011년 9월 30일 시행된 개인정보보호법은 그간 분야별로 시행되던 개별적인 법령들을 포괄하고 개인정보 보호 개념이 불분명하였던 분야를 포함하여 사회 전체 영역에서 전반적인 개인정보 보호문제를 다루도록 규정되었고, 올해 9월 이면 시행된지 3년이 지나게 된다. 개인정보보호법 시행과 더불어 정부는 개인의 존엄과 가치가 존중받을 수 있도록 개인정보보호 1차 기본계획을 수립하고 사회전반의 각 분야별로 개인정보 보호체계 수립, 보호역량 강화, 침해예방 능력 강화, 사회적 인식 제고가 이루어지도록 어려가지 노력을 기울여 왔다.
 
이를 통해 우리는 개인정보보호가 각 개인, 회사 등 사회전반의 영역에서 충분하지는 않을지라도 중요하게 다루어지고 있음은 체감하고 있다. 회원 가입신청서를 접할 때, 전화로 보험 가입 권유를 들을 때 적어도 우리는 “이게 다 필요한 정보인가요?”, “제 전화번호는 어디서 얻으셨나요?” 정도는 물어보고 따져보고 개인정보를 제공하고 있을 정도로 우리의 의식이 높아졌기 때문이다.
 
실제로 보호위원회가 발표한 ‘13년 개인정보보호 실태조사 결과에서도 민간사업자의 법에 대한 인지도가 ‘12년 3월 33% 수준에서 ’13년 7월에는 91% 수준으로 향상되었고, 일반 국민(정보주체)의 법 인지도도 80.7%로 낮지 않은 수준을 유지하고 있는 것으로 나타나고 있다.
 
◇그럼에도 불구하고 사고는 왜 자주 발생하는가
그럼에도 불구하고, 개인정보보호법 시행 이후에도 크고 작은 개인정보 유출이나 침해사고는 끊임없이 일어나고 있다. 올해에만도 카드 3사 개인정보 1억여건, KT 고객정보 1,200만여건, 통신 3사 420만여건, 금융기관 11곳 100만여건, 제2금융권 1,100만여건, 택시조합 4,800여건, 군산공무원 1,700여건 등의 개인정보 유출 사고가 있었다.
 
특히, 올해 초 카드 3사에서 발생한 사상 초유의 대량의 개인정보 유출사고 여파로 해당 카드를 쓰는 사람들은 카드비밀번호도 바꾸고 카드도 재발급 받는 등 상당한 불편을 겪으면서 한 번쯤 이런 생각을 해 보았을 것이다. “개인정보 유출이나 침해 사고는 왜 끊임없이 일어나는가?”, “이 회사들이 정말 우리 개인정보를 제대로 보호하고 있는 건가?”.
 
◇내부를 들여다보면 인식만큼 정말 하고 있는가?
사고로 인해 언론에 보도가 되어서 알게 된 개인정보 유출이나 침해사고 이외의 영역에서는 정말 개인정보보호를 잘하고 있는 것인가?
 
안전행정부에서 2012년 및 2013년에 민간·공공분야 개인정보처리자(국민의 개인정보를 수집·이용하는 민간 사업자, 공공기관, 비영리단체) 대상으로 기획점검 및 특별점검을 실시한 결과 발표에 따르면 2012년 점검에서 423곳중 82%에 해당하는 348곳이 2013년 점검에서는 331곳 중 90%에 해당하는 297곳이 개인정보보호법을 위반해 총 1,195건의 행정처분이 내려졌으며 공공기관도 223건의 행정처분이 내려진 것으로 나타나고 있다. 이렇듯 일반인에게 드러나지 않는 개인정보처리자 내부에서의 개인정보 관리도 잘 되고 있다고 볼 수 없는 상태로서 이러한 부분들이 빈번히 일어나는 개인정보 유출이나 침해 사고와 상당한 연관성을 가지고 있다고 보여지고 있다.
 
◇보호조치를 하지 않는 원인은 무엇인가?
이러한 빈번한 사고나, 법 위반의 원인은 무엇인가? 각종 실태조사나 설문조사 결과, 컨설팅 등을 해보면 대부분의 민간, 공공기관에서는 개인정보 보호조치가 어려운 이유로 인력과 예산부족을 이유로 들고 있다.
 
개인정보보호위원회의 2013년 개인정보보호 실태조사 결과를 볼 때에도 실제로 인력이나 예산부족은 사실로 나타나고 있는데, 조사결과에 따르면 각 개인정보처리자의 개인정보보호 담당자 현황은 민간부문이 0.55명, 공공부문이 1.52명에 불과하고 그것도 담당자의 90%는 다른 업무를 병행하고 있는 것으로 나타나고 있다. 상시 종업원 규모로 볼 때에는 1~4인 규모는 0.35명, 5~49인 규모는 0.82명, 50~299인 규모는 1.43명, 300인 이상은 2.73명이다. 또한 예산확보 비율도 공공부문이 약 1.4억원, 민간부문은 약 350여 만원에 그치고 있으며 아예 예산이 없는 경우도 공공부문이 52.1%, 민간부문이 95.9%에 이르는 것으로 나타나고 있다.
 
사실 인력이나 예산문제를 배제하고 개인정보를 안전하게 관리 한다는 것을 기대하기 어려운 부분이 있지만 과연 이것이 모든 문제의 근원인가라는 생각을 안 할 수가 없게 된다. 개인정보 관리 인력이야, 사실 어느 업무를 하더라도 마찬가지지만, 많을수록 잘 할 수 있는 가능성은 높아진다고 볼 수 있고, 규모가 큰 사업자의 경우 각 사업부서별 너무 많은 개인정보 수집·이용 사업들이 있어 상당한 인력이 있는 경우가 아니면 개인정보 관리나 보호의 문제는 담당자가 많다고 해서 전사적으로 안전한 처리를 담보하기에는 상당한 어려움이 따르기 때문이다.
 
인력과 예산 문제를 볼 때 아주 근본적인 문제는 실태조사에서 나타나는 현상적 결과와 같이 개인정보처리자가 개인정보 수집·이용에 따른 이윤창출이나 사업활동과 동등한 수준으로 개인정보 보호문제를 바라보지 않고 어쩔 수 없이 해야 하는 것 중의 하나로 보고 있다는 것을 부인할 수 없지만, 다른 한편에서는 현 인력·예산으로 최소한은 할 수 있는 것임에도 의지도 없이 모든 사고의 원인, 관리 부실의 문제를 인력과 예산이라는 해결이 어려운 구조적 문제로 떠 넘기는 것은 아닌지 생각해 볼 일이다.
 
또 다르게 생각해 볼 수 있는 부분은 현재 개인정보보호 관련 법령 등의 규율 체계가 안전한 개인정보 관리에 불충분하거나 준수하기 어려운 구조로 되어 있는가 또는 개인정보의 안전한 관리를 방치할 수 있을 정도로 개인정보처리자에 가해지는 책임의 부과가 낮기 때문인가 등의 문제를 생각해 볼 수 있을 것이다.
 
보메트릭이라는 기관이 올해 최근 발표한 전 세계 개인정보보호 관련 법의 규제 수준에서는 한국이 전세계에서 가장 엄격한 규제를 하고 있다고 하면서 안전한 데이터 보호가 가능하다고 언급하고 있다.
 
우리나라에서는 이 문제에 대해 수범자들인 개인정보처리자들은 이것을 최대한의 보호조치로 보고 있으며, 일부 국내 전문가들은 개인정보보호 규율 체계의 규정사항들이 보호조치 방법까지 상세히 규정함으로써 변화하는 최신 침해공격으로부터 개인정보를 보호하기에 불충분한 요인들을 제공하고 개인정보처리자의 불충분한 개인정보보호 조치에 대해 면죄부를 주는 것으로 종종 악용되고 있다고 말하는 것을 볼 수 있다.
 
하지만 정말 최근에 사건들을 볼 때에 법에서 요구한 범주를 넘어서는 요인들로 유출이나 침해사고가 일어나는가?
 
대략적인 관점에서는 지금까지 발생한 대부분의 개인정보 유출사고는 법에서 보호조치를 요구하고 있는 범주 내에서 발생하고 있고 아주 현란한 신종 공격기법 등에 의한 개인정보 유출이 아닌 기본적인 보호조치나 관리의 문제로 발생하는 경우가 대다수로 보여진다.
 
실제로 상당수의 개인정보 유출이 홈페이지 해킹으로 발생되는데, 이로 인한 개인정보 유출의 경우에도 대부분 아주 고도의 공격기법보다 일반적으로 알려진 공격기법이나 취약점에 대한 대응 부족인 경우가 많다. 이와 관련하여 개인정보보호위원회에서 발표한 ‘13년 개인정보보호 실태조사 결과를 보면 민간부문의 개인정보 보호조치는 물리적 조치(53%)를 제외하고는 기술적, 관리적 조치항목을 준수하는 사업자 비율은 모두 50% 미만에 불과한 실정으로 나타나고 있다. 사실 많은 사업자들이 조치가 그리 어렵지 않은 기본적인 보호조치마저도 소홀한 상황이며, 이로부터 기인하는 유출이나 침해사고를 간과할 수는 없을 것이다. 
 
이러한 상황을 볼 때 현 시점에서 규율 체계의 문제보다는, 개인정보처리자가 개인정보 수집·이용 대비 개인정보 보호의 문제를 중요하게 다루고 있지 않는 것이 더 큰 문제라고 보여진다.
 
또한, 이러한 개인정보처리자의 개인정보 수집·이용 우선의 비균형적 대응조치의 이면에는 현재까지 유출이나 침해사고에 대한 법적 책임이 그동안 강하게 부과되지 않았던 부분 또한 배제할 수 없을 것이다. 사실 이러한 문제들은 그동안 지적되어 왔으며 이러한 부분에 대해서는 상당 부분 제도적 개선이 있어 왔고 해소되는 과정에 있다.
 
이러한 사례로서, 개인정보보호법은 2014년 8월 7일부터는 주민번호 유출시 과징금 5억원을 부과할 수 있도록 하고 ‘16년 1월 1일부터는 주민번호는 암호화 보관을 의무화하도록 개정이 이루어졌으며, 2014년 11월 시행되는 개정된 정보통신망법에서도 개인정보 유출시 기술적·관리적 보호조치 미비와 유출사고와 인과관계 입증 없이도 매출액 3% 이내의 과징금을 부과하고 개인정보 유출 피해자가 최대 300만원까지 손해배상 청구를 할 수 있도록 개정되는 등 전반적으로 개인정보처리자에게 법적 책임을 강하게 묻는 방향으로 제도가 개선되었다.
 
◇어떻게 해야 하는가, 관심 이상의 실천의지가 필요
그렇다면 앞으로는 개인정보처리자에게 더욱 강한 책임이 부과되는 방향으로 개인정보보호 제도가 운영될 것인데 어떻게 해야 하는가?
 
앞서 언급한 문제들과 원인들을 살펴보았을 때 지금까지 발생된 또는 앞으로 일어날 수 있는 개인정보 유출이나 침해 문제 해결을 위해서는 인력이나 예산의 부족의 문제 해결과 더불어 기본적인 관리나 보호조치 소홀 문제를 해결하는 것이 중요 할 것으로 보인다. 이를 위해서는 각 기업, 기관의 중요 의사결정자가 개인정보 보호에 대한 관심을 넘어 의지를 갖고 실천하는 것이 정말 중요한 부분이라 할 것이다.
 
개인정보보호에 대한 관심 이상의 의지를 갖고 실천한다는 것은 개인정보처리자 특히 경영층에서 자사의 사업이나 업무가 개인정보 수집·이용·제공에 근간하고 있고 이를 통해 이윤추구나 업무처리가 가능하다는 점을 각인하고 개인정보 보호에 대한 예산·인력의 투입을 지출이 아닌 기관의 생존을 위한 필수적인 투자로 정착시키는 것을 의미하며, 기본에 충실하고 효율적인 개인정보보호 거버넌스를 구축해서 끊임없이 Plan-Do-Check-Act 사이클에 따라 관리활동을 수행하는 것을 말한다.
 
이를 위해서는 신규 예산·인력 투입도 중요하지만, 경영층에서 개인정보 보호에 대한 강한 의지를 가지고 기존에 투입된 예산·인력을 잘 활용하여 전사적 차원에서 적정한 관리체계를 구축하고 관리활동을 지속적으로 수행한다면 앞으로 발생할 수 있는 많은 개인정보 보호 문제들을 매우 비용 효과적으로 예방할 수 있을 것으로 생각된다.
 
[글. KISA 개인정보안전단 개인정보기술지원팀 김호성 팀장]
 
<★정보보안 대표 미디어 데일리시큐!★>