개인정보 유출 방지 대책, 설익은 ‘미봉책’

 앞으로는 개인은 인터넷포털을 포함해 인터넷사이트에 가입할 때 주민등록번호를 의무적으로 제공하지 않아도 되고 기업은 반드시 금융정보를 암호화한 후 저장해야 한다. 또 개인정보보호 의무규정을 위반하거나 개인정보 유출 및 노출 등 침해사고가 발생했을 때 사업자에게 부과되는 과태료와 벌칙이 대폭 강화된다.

 하지만 이 같은 정부의 개인정보 침해방지 대책에도 불구하고 개인정보 수집 관행을 막는 실질적인 대책이 빠져 있어 개인정보의 악용은 물론이고 해킹 피해를 근본적으로 줄이기에는 역부족이라는 비판이 쏟아지고 있다. 이번 대책은 특히 정보통신망법 개정과 시행에 이르기까지 4∼6개월이 걸릴 예정이어서 상당 기간 피해가 불가피하다는 지적이다.

 24일 방송통신위원회는 행정안전부·대검찰청·경찰청·금융감독원·한국정보보호진흥원·통신사업자 및 인터넷사업자 등과 대책 회의를 개최해 ‘인터넷상 개인정보 침해방지 대책’을 발표했다.

 그동안 옥션·KT·다음 등 서비스 사업자가 해커의 공격을 받으면서 1000만명이 넘는 개인 정보가 유출됐다. 지난 2월 옥션은 중국에서의 공격에 의해 1081만명에 이르는 개인정보 DB를 해킹당한 데 이어 3월에는 KT와 다음을 비롯한 9개 통신·인터넷 사업자가 해킹을 당해 충격을 줬다. 여기에 하나로텔레콤이 불법으로 고객정보를 유출한 사건까지 발생하면서 온 국민이 개인정보 유출에 떨고 있는 상황이다.

 특히 개인정보에는 은행 계좌번호를 비롯한 성명과 주민등록번호 등이 포함돼 있어 이를 악용한 명의도용·전화금융사기 등이 여전히 우려되고 있다.

 방통위는 이를 막기 위한 대책으로 △주민등록번호 대체수단(i-PIN) 도입 의무화 △주민등록번호 암호화 보관 및 비밀번호 생성기준 적용 의무화 △개인 정보 유출·노출 시 통지·신고 의무화 △법 위반 사업자에 대한 벌칙·과징금 도입 등 제재수단 상향조정 등을 내놓았다. 대책에 따르면 통신·인터넷 사업자의 주민등록번호 수집이 매우 제한되며, 사업자는 기존 수집된 정보도 암호화를 하는 등 보호 대책을 마련해야 한다. 또 이를 위반하면 강도 높은 처벌을 받게 된다.

 조영훈 방통위 개인정보보호과장은 “검·경의 수사, 행안부와 방통위의 실태조사, 금감원과 한국정보보호진흥원의 전문 기술지원 등으로 공조를 강화할 예정”이라고 말했다.

 그러나 이번 발표에 앞서 시민단체를 비롯해 개인정보 악용에 불만을 품은 시민들은 근본적인 해결책으로 불공정 약관 규제를 주장했다. 개인이 기업에 정보를 제공할 수밖에 없는 것은 정보를 제공하지 않으면 서비스 자체를 이용하지 못하도록 약관에 규정해 놓고 있기 때문이라는 것이다. 게다가 개인정보 수집 제한을 위한 대책으로 i-PIN 도입 의무화를 제시했지만, 이 대책은 이미 지난해 정보통신망법 개정안으로 나와 국회에 계류 중인 안이다.

 개인정보 보관의 불신을 해소하기 위한 방안으로는 개인정보 위험관리제를 도입하고 사업자의 개인정보 유출·노출 사실 통보와 신고 의무화가 제시됐다. 하지만 이 수준으로는 자신의 정보가 어디까지 수집돼 어떻게 관리되고 있는지는 알 수 없어 계속되는 불안을 해소하기 힘들다.

 개인정보는 통신사업자뿐만 아니라 수많은 민간 사업자가 보유하고 있는만큼 하루빨리 이의 대책을 내놓아야 한다는 지적도 나왔다. 개인정보 보호 책임은 정보통신망법과 공공기관 개인정보보호에 관한 법률로만 규정돼 있어 이를 피해갈 수 있는 사업자가 많다.

 정보보호 업계에서는 개인정보 활용 규제 강화와 함께 근본적인 보안체계 강화를 주장하고 있다. 가장 큰 문제는 대규모 사태가 터졌을 때 일관된 지시를 하고 책임질 조직이 없다는 것이다. 사건이 잇따라 터진 후에야 비로소 대책회의를 열어 이와 같은 대책을 발표한 점은 이를 여실히 보여주고 있다. 또 보안 제품의 점검도 강화해야 한다는 지적도 나왔다. 공급 이전 승인단계는 여러 인증 제도로 인해 매우 까다로운 반면에 사후 관리체계는 허술한 상태다.

  이은용·문보경기자 okmun@