초보의 눈에 비친 개인정보보호

작성자: WhiteHT 
편집자: 엔시스(sis@sis.pe.kr)

 

2008년 어느 날, 우연히 인터넷을 하다가 '옥션' 이라는 쇼핑몰업체의 개인정보가 유출되었다는 뉴스를 접했다. 옥션?.. 옥션? 정말 많은 사람들이 자주 이용하던 쇼핑몰이었고, 필자 또한 예전에 가입한 기억이 있어 옥션에 로그인을 하고 관련 정보가 유출되었는지 확인해보았다.

확인을 하니, 귀하의 어떠한 개인정보가 유출된 것으로 판단된다는 내용의 글과 비밀번호를 더욱 강화된 정책에 맞춰서 변경하라는 내용이었다. 관련된 내용에 대한 인식이 부족했던 필자는 이미 다 유출됐고 팔아 넘겨졌을 정보들은 이제 와서 '소 잃고 외양간 고치는 것인가' 라고 역정을 냈던 기억이 난다. 그런 일이 있었던 후에 생각 탓인지 핸드폰이나 메일로 전송되는 스팸광고성 문구들이 늘어 났다. 이렇게 유출된 개인정보들은 2차 피해까지 발생 시키고 있었다.

 

작년 한 해의 가장 큰 이슈가 되었던 것들이 바로 개인정보 유출 사고이다. 해킹사고 발생으로 다량의 개인정보가 유출되고, 내부자에 의한 고객 개인정보가 물세듯 빠져나간 사건은 사회적으로 심각한 문제로 대두되었다. 이러한 사건 사고가 크게 이슈화 되고 관심을 갖고 지켜봐야 하는지에 대하여 함께 생각해 보자.

 

 개인정보 침해 민원 건수가 해마다 증가하고 있다. 아니 짧게 매달 증가하는 추세에 있다. 민원의 유형을 살펴보면 텔레마케팅 수단으로의 무단이용, 개인정보를 동의 없이 이용, 사업자의 관리 소홀로 인한 유출, ID, Password 도용으로 게임아이템 도난 등이 가장 많았다. 이렇게 소소한 사고들도 있고, 지난해 발생한 옥션이나 GS칼텍스 개인정보유출사고처럼 대규모 사건사고들도 발생하고 있어 개인정보를 다루는 모든 사업자와 개인들에게 경각심을 불러 일으키고 있다.

그러면 왜 이런 문제들이 생기는 것일까?. 최근 개인정보를 다량 보유하는 정보시스템 및 서비스가 증가하고 있으며, 개인정보에 대한 수집, 이용, 보관, 파기할 시 유출에 대한 가능성이 있으며 이데 대한 파악조차 쉽지 않다는 것이 문제이다. 또한 내부직원 및 외부 파트너사의 윤리의식 부족으로 개인정보가 대량 유출될 수 있는 우려 또한 산재하여 있다. 이러한 경향과 근본적인 부분에 대한 보호체계가 더욱 굳건하게 이루어져야만 할 것이다.

그럼 정보통신 서비스를 제공할 때 법적인 제재는 어떤 것이 있는지 살펴보자.

기업의 자체 서비스를 제공할 때에는 사용자의 개인정보를 법 조항에 따라 수집/이용 동의를 받아야 하며 이를 어길 시에는 1천만원 이하의 과태료를 물게 되어있으며, 동의 목적 외 사용제한이란 조항에 따라 제공범위를 어길 시에는 5년 이하의 징역 또는 5천만원 이하의 벌금을 물게 되어있다.
 
또한 개인정보 훼손/침해/누설 금지의 조항과 목적달성 후 파기 조항, 동의 철회 시 파기 조항을 확실히
숙지하고 임해야 할 것이다. 제3자 정보 제공 시에도 위탁동의와 제공범위를 확실히 하여야 하는 법률이 존재한다. 하지만 이러한 법률들 또한 중요한 조항임에도 불구하고 처벌이 약하다는 판단이다. 만약 이미 수많은 정보가 유출된 후라면, 그리고 그 유출된 정보가 악의적인 부분으로 사용되고 판매되었다면 1~5천만원 정도의 벌금이 대수이겠는가?

조금 더 처벌에 대한 강화가 필요할 것이다. 오는 4월에 새롭게 국회에 상정되는 개인정보보호관련법률에 대한 관심이 조금 더 가는 부분이라 볼 수 있겠다.

다음으로 개인정보보호에 대한 서비스를 제공하는 사업자는 무엇을 고려해야 하는지 살펴보자.

위에서 언급했듯이 내부자/외주업체에 대한 위협, 관리적인 부분에서의 위협, 해킹/침해사고에 대한 위협 등이 존재할 수 있을 것이다. 이를 보완하기 위해서는 개인정보보호에 대한 인식을 제고하고, 해킹/침해 사고에 대비한 기술적 부분을 강화해야 할 것이며, 법률적인 부분 외에 사업자의 자율적인 책임을 강화해야 할 것이다. 또한 만약의 사고를 대비한 피해 대응책에 대한 구비도 필요할 것이다.

이 밖에도 사업자의 상황에 따라 정보보호관련 조직을 별도로 편성하여 관련 업무를 전담시키는 것도 하나의 방법이라 할 수 있겠다. 아니 별도 편성이 어렵더라도 최소한의 해당업무를 중점적으로 처리할 수 있는 인원이 필요 할 것이다.

 

위에서 살펴 본 것처럼 개인정보보호는 정책(관리)적인 부분과 기술적인 부분의 관심과 노력이 병행되어야만 최소한의 방어책을 강구한 것이라 할 수 있다. 일반적인 사업자로서는 해당부분이 낯설고 어려운 부분일 수 있겠다. 이런 경우라면, 정보보호컨설팅 전문업체에 의뢰하여 관련 정보보호 컨설팅이나 개인정보 영향평가를 받아보는 것도 하나의 방법이 될 수 있을 것이다.

 

 

 전문화된 업체에서 사업자의 사업특성을 고려하여 보호되어야 하는 대상을 분별하고 관련 보호 대책을 수립해 주는 것이다.

위와 같이 간단하게 나마 최근 이슈화 되고 있고, 앞으로도 그 중요성이 지속 강조될 것으로 보이는 개인정보보호에 대해서 개인적인 견해를 밝혀 본다.