최근 발생한 회원사 1800만명인 옥션의 고객 개인 정보 침해 사건은 다시 한 번 개인정보 보호의 중요성을 상기시켰다.
개인 정보 유출은 이제 단순히 기업 마케팅이나 비즈니스 활용 목적을 벗어나 직접적 금전 대가를 목적으로 한다. 이 사건은 전 국민 3분의 1이 프라이버시라는 기본권 침해와 금전적 피해에 노출될 수 있었다는 점에서 개인적 침해 차원으로 생각해서는 안 된다.
온라인 네트워크가 부의 창출을 위한 경제 활동의 핵심 영역으로 구축되고 있는 상황에서 개인 정보 침해와 보안 위험 등으로 인한 신뢰성 감소는 큰 문제다. 온라인 활동과 인터넷 경제가 축소된다면 국가 경쟁력의 약화로 이어질 수 있다. 기업에는 비즈니스 기회 감소로, 개인에게는 금전적 손실 등의 위험이 따를 수도 있다.
경제 측면보다 더 큰 위험은 개인 정보 도용으로 인해 사회적 지위까지 위태로울 수 있다는 점이다. ID도용 등으로 인해 하루아침에 자신도 모르는 사이에 신용 불량자로 전락하거나 악성 루머 등으로 개인 이미지가 추락할 수도 있다. 기업은 자사가 보유한 개인 정보 유출 사고 발생 시 SOX, HIPAA 등 IT 컴플라이언스를 준수하지 못했을 경우 집단 민사소송 및 형사소송으로 이어져 법적, 경제적 피해와 함께 주가 하락은 물론이고 기업 이미지와 신뢰도 하락으로 이어질 수 있다. 최악의 경우 고객 개인 정보 보호에 실패한 기업은 과다한 벌금 등 소송으로 인해 파산에 이른다.
이미 유럽은 기업들이 개인 정보 유출 소송으로 파산할 수 있음을 경고한 바 있고 일본에서도 몇 년 전 개인 정보 침해 사고로 인한 ‘기업 돌연사’라는 용어가 유행했다. 개인정보 위험관리 시스템이 허약해 해외에 개인 정보 보호 취약국이라는 낙인이 찍힐 경우 국가 신뢰도 하락 및 국내 정보기술 산업의 수출 위축을 가져온다.
기업은 이미 CPO제도 등을 통해 방어 장치를 마련했다고 공언해왔지만 이번 옥션 사건을 비롯한 많은 기업의 개인 정보 유출 사건은 개인 정보 보호 시스템이나 내부 통제가 제대로 작동하지 않거나 실제 효과가 크지 않음을 보여줬다.
문제는 개인 정보 침해가 가져올 사회적 파급력에 비해 그 해결책은 지극히 개인적이고 개별적인 방식으로 제공됐다는 점이다. 더 이상 개인 정보 위험의 해결을 개인과 기업에만 맡겨서는 안 된다.
개인 정보 침해 문제는 단순한 정보 주체 개인의 문제가 아니라 개인과 기업 그리고 정부의 각 주체가 포함된 전 사회적인 위험이 될 수 있음을 인지해야 한다. 각 주체의 개별적 위험 관리는 물론이고 전 사회적인 차원의 위험관리 시스템 구축에서 그 해결책이 모색돼야 한다.
그렇기에 공공과 민간 영역의 각 주체들은 개인정보보호기본법, 개인정보영향평가, 각종 컴플라이언스법제들, 개인정보보호기술인 PET(Privacy Enhancing Technology) 등이 사회에 효과적인 개인정보위험관리 수단으로 조속히 자리 잡도록 해 개인 정보 보호 침해로 인한 국가적 위기와 기업의 위기 그리고 국민 개개인의 위험을 보호할 수 있도록 해야 한다. 개인·기업·정부가 하나의 목소리로 만전을 기해야 한다.
전 사회적인 위험관리 차원에서 단일하고 일관된 정책적, 기술적 대안을 지속적이고 안정적으로 연구할 수 있도록 개인정보보호연구소 설립이 시급하다. 미국은 이미 사이버테러 위기에 직면해 사이버테러 대응 기술의 안정적 연구 개발을 위해 미국 정부 및 주요 IT기업의 재원을 받아 민간과 공공의 협력을 통해 카네기멜론대학교에 정보보호기술연구소인 CyLab을 설립, 운영하고 있다.
우리도 이러한 연구소가 필요하다. 여기에 정부와 기업은 지속적인 연구를 수행할 수 있도록 법적, 재정적 뒷받침을 아끼지 말아야 하며, 대학은 정책과 기술 분야에 균형 잡힌 지식을 보유한 연구 인력과 환경을 안정적으로 제공해야 한다.
임종인 고려대 정보보호연구원 교수(jilim@korea.ac.kr)