한국정보보호진흥원(KISA)이 100개 중소기업을 대상으로 ‘개인(임직원)정보를 보호하기 위해 외부에 자문을 구한 경험이 있느냐’고 물었더니, 무려 91곳이 ‘없다’고 대답했다. 또 기업이 정보시스템을 구축하기 위한 기획단계에서 개인정보에 미칠 영향과 변화를 사전에 조사·예측·평가한 뒤 대응책을 마련하는 사례도 찾아보기 힘들다는 게 정부혁신지방분권위원회의 지적이다. 이렇듯 정보보호의 인식이 얕고 허술하다 보니 해커 7명이 손쉽게 국내 전화미팅(일명 폰팅)업체의 서버를 해킹해 얻은 842만여명의 개인정보를 팔아 무려 55억원을 챙기기도 했다. 온라인 해킹·바이러스·피싱 등 위험이 곳곳에 도사린다. 어떻게 막을 것인가.
‘강력하고 무거운 규제부터!’
해커와 같은 행위자뿐만 아니라 개인정보를 관리하는 기업의 나태와 미필적 고의에 강력한 규제의 필요성이 제기된다. 날로 지능화하고 대형화하는 개인정보 침해·유출 행위를 막기 위한 현재의 수단으로는 재발을 방지할 만한 효과가 없기 때문이다.
실제로 ‘금전적 대가를 노린 개인정보 불법 유출·판매 행위’에 형벌(5년 이하 징역이나 5000만원 이라 벌금)을 가하고 ‘기술적·관리적 개인정보보호 조치에 소홀한 자(기업 등)’에게 과태료(1000만원 이하)를 부과하고 있지만 개인정보 침해·유출이 계속 일어난다. 물론 규제가 모든 것을 해결할 수는 없으나 변화(사이버 테러 지능화·대형화)에 걸맞은 개편·강화가 필요하다는 지적이다.
정현철 정보통신부 개인정보보호팀장은 “그동안 최대 1000만원을 과태료 상한액으로 정했지만 계도 차원에서 300만∼500만원을 부과하는 게 일반적이었다”며 “이 같은 배려와 법적 체계로는 되풀이되는 개인정보 침해·유출을 막는 데 한계가 있기 때문에 과태료 부과금액을 2000만∼3000만원으로 상향 조정해야 한다”고 말했다.
정 팀장은 특히 “동의 없는 개인정보 불법제공, 무단이용처럼 위법성이 높은 행위를 놓고 현행 과태료(최대 1000만원)체계에도 한계가 있으니 ‘5년 이하 징역’이나 ‘5000만원 이하 벌금 또는 과징금’으로 개정할 필요가 있다”고 강조했다.
정통부가 이 같은 내용을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안을 마련, 다음 정부에서 어떤 형태로 현장에 반영될지 주목된다. 구체적으로 과징금 부과대상자는 정보통신망법에 정한 개인정보보호 의무자인 ‘1만8861개 기간·별정·부가통신사업자(2007년 9월 현재)’로 한정될 전망이다. 과징금은 위반행위 관련 매출액을 산정할 수 있을 때에는 ‘매출액의 100분의 1 이하’로, 관련 매출액을 산정하기가 곤란할 때에는 ‘4억원 이하 일정액’을 부과하는 방안이 추진된다. 다만 복수 전기통신사업(역무)을 제공하는 사업자는 1개 사업자로 계산할 가능성이 클 것으로 예측된다.
이 밖에 △이용자가 정보공개 동의를 철회하거나 열람·정정을 요구했을 때 제대로 조치하지 않았을 때 과태료 3000만원 이하 △개인정보 취급위탁사실을 공개하지 않거나 통지하지 않았을 때 과태료 2000만원 이하 △개인정보관리책임자를 지정하지 않거나 개인정보취급방법을 공개하지 않았을 때 과태료 2000만원 이하 등 기존 규정(모두 1000만원 이하)보다 한층 강력한 규제방안이 추진될 전망이다. 또 중장기적으로는 여행사·호텔·학원 등 정보통신서비스를 제공하는 ‘준용사업자’를 포괄하는 개인정보보호 규제를 도입해야 한다는 게 정부와 유관 기관의 시각이다.
정부 고위 관계자는 “우리 사회의 정보화가 빨라지면서 해킹·바이러스·개인정보 유출·스팸메일 등 역기능에 대응할 체계를 확립해 안전하고 믿음직한 사이버 환경을 조성해야 한다”며 “기업(개인정보보호 의무자)의 정보보호 대응능력을 강화하기 위한 컨설팅 지원으로부터 ‘분산서비스거부공격(DDoS)’과 같은 첨단 해킹행위에 이르기까지 포괄적인 방지책을 마련하는 것은 지난 5년과 새로운 5년을 관통하는 해결 과제”라고 주장했다.
◆황중연 KISA원장 인터뷰
“디지털 정보가 오·폐수 방류나 남벌, 무분별한 간척 등 기존의 환경파괴 못지않은 새로운 환경오염원으로 등장했습니다.”
황중연 한국정보보호진흥원장은 새로운 환경 오염원 중 가장 큰 이슈는 스팸이나 악성코드와 같은 사이버 위협이라고 강조했다.
“최근 인터넷 침해사고로 인한 경제적 손실은 연간 약 4500억원이 이른다고 합니다. 또 웹2.0과 UCC 등 양방향 웹서비스의 확대로 개인정보 유출이 심각한 사회 문제로 대두했습니다.”
황 원장은 지난 10연간 정보보호 환경은 개별 시스템과 네트워크 보호에서 서비스와 이용자 보호로 그 중심이 급격히 옮겨져 그 범위가 크게 확대됐다고 설명했다.
“피싱(phishing)과 봇넷(botnet) 등 IT 보안취약성을 이용한 사이버위협이 고도화되고 신규 IT서비스를 이용한 바이러스 유포 위협 등이 증대됨에 따라 이에 대한 능동적이고 종합적인 대처가 필요한 시점입니다.”
황 원장은 ‘유비쿼터스 사회의 정보보호 프런티어’를 자청하며 우리나라의 국가 정보보호수준을 세계 5위권 안으로 끌어올린다는 야심 찬 계획을 세웠다.
이를 위해 황 원장은 △안전한 u사회 청사진 설계 및 환경조성 선도(Advancing) △사이버위협 예방 및 대응체계의 입체적 조화(According) △정보보호 기술·제품·산업간 선순환 촉진(Accelerating) 등 ‘3A’ 전략을 마련했다.
황 원장은 이 전략을 완성하기 위해 유비쿼터스 사회의 위협을 예측하고 이를 뒷받침할 정보보호 정책을 개발하는 데 중점을 두고 있다. 또 기업 유형별로 정보보호 거버넌스 체계를 정착시키고 미래 유망 IT분야의 정보보호 핵심 인재를 양성하는 전략적 과제를 추진 중이다.
“사이버 위협을 예방하고 대응 체계의 입체적 조화를 위해서 광대역융합네트워크(BcN)의 종합해킹대응시스템 구축할 것입니다. 또 융·복합 서비스의 안전, 신뢰성 강화는 물론이고 이용자 프라이버시 보호체계의 고도화를 꾀하고 있습니다.”
황 원장은 “우리나라는 디지털기회지수와 전자정부 순위에서 전 세계 1위지만 정보보호 수준은 후진국을 면치 못하고 있다”며 “2010년까지 IT강국 이미지에 걸맞은 세계 최고의 정보보호 수준을 달성하는 데 역점을 둘 것”이라고 강한 자신감을 내비쳤다.
김인순기자@전자신문, insoon@