[ET단상] 개인정보 이용대상 아닌, 보호대상으로 인식해야

　이달 30일로 예정된 새로운 개인정보보호법 시행을 앞두고 개인정보보호에 대한 사회적인 논의가 한창이다. 최근 연이은 해킹사건으로 피해가 커지는 상황에서 당연해 보인다.

　개정 개인정보보호법이 시행되면 적용 대상업체는 종전 50만개에서 350만개로 대폭 늘어난다. 구체적으로는 공공기관 및 비영리단체, 부동산 중개소, 쇼핑센터, 택배사, 여행사, 휴대폰 대리점, 비디오 대여점, 동창회까지 업무를 목적으로 개인정보를 처리하는 모든 사업자가 포함된다. 법 적용 대상이 이처럼 넓다는 것은 그만큼 우리의 개인정보가 함부로 수집되고 임의롭게 사용되고 있다는 뜻이다.

　이렇게 마구잡이로 수집된 개인정보는 결국 해킹을 부르는 요인이 된다. 해킹 사건이 근절되지 않는 이유는 해킹을 조장하는 불법적인 수요공급 관계가 존재하기 때문이다. 많은 기업들이 개인정보를 과도하게 수집해 왔다는 것은 수집한 정보를 어떠한 형태로든 비즈니스에 활용하고 있다는 사실을 반증한다. ‘인터넷 실명제’만 탓할 일이 아니다. 이렇게 수집한 주민등록번호와 이름, 전화번호 등 소중한 개인정보는 해커들의 먹잇감이 되고, 해커들이 확보한 개인정보는 또다시 음성적으로 거래돼 누군가의 목적에 의해 악용된다.

　그 누군가는 규모가 크건 작건 간에 목적을 가진 기업일 가능성이 크다. 개인정보를 필요로 하는 수요자와 해킹으로 수집한 정보를 유출하는 공급자, 그리고 해킹 자체가 비즈니스인 브로커가 공존하는 한 해킹 피해는 줄어들지 않을 것이다.

　해법은 명확하다. 먼저 기업들이 고객의 소중한 개인정보를 단순한 ‘이용 대상’이 아닌 소중한 ‘보호 대상’으로 인식해야 한다. 정부가 아무리 좋은 법〃제도를 만든다고 해도 기업 스스로 나서서 뜻을 합치지 못하면 개인정보보호는 의미가 없다.

　이러한 인식이 저변에 확대된다면 기업들은 불필요한 고객 정보를 수집, 보관하지 않게 될 것이다. 이렇게 되면 해커들은 공격대상을 찾지 못해 홀로 떠돌거나 아예 자멸해 버릴 게 자명하다. 해킹을 당하더라도 최소한 개인정보 유출로 인한 2차, 3차 피해는 줄일 수 있게 된다.

　해킹 재발방지 차원에서 9월부터 주민번호를 수집하지 않겠다는 SK커뮤니케이션즈의 발표는 기업의 변화된 개인정보보호 의지를 엿볼 수 있어 반갑다. 여타 기업들도 지속 가능한 경영 차원에서 개인정보 유출에 따른 리스크를 줄이고, 꼭 필요한 정보만 철저하게 지키는 데 지혜로운 노력을 기울여야 한다.

　아울러 보유한 개인정보를 함부로 사용하거나 외부 유출했을 경우, 막중한 책임에서 벗어나기 어렵다는 점을 잘 인식해야 한다. 정부 역시 개인정보보호법과 함께 실효성 있는 시행령들을 마련해 이를 뒷받침해 나갈 것으로 기대한다.

　개인정보보호를 잘 보호하는 것도 중요하지만 만약의 경우를 대비하는 것도 기업의 몫이다. 100% 안전한 자동차 없고, 100% 완벽한 보안시스템도 없다는 점에서 기업들은 사전에 철저한 정보보호 시스템과 보안체계를 갖추되, 보험과 마찬가지로 유사시 피해를 최소화하고 신속 복구할 수 있는 위기대응책도 마련해야 한다.

　위기대응책에는 개인정보보호를 핵심으로 하는 해킹 방지 및 피해 최소화 방안과 2차 피해 확산 방지를 위한 방법들이 구체적으로 알기 쉽게 명시돼야 한다. 해킹 자체를 원천 차단하는 것이 당연하지만, 정착 해킹 사건이 일어났을 때 신속하게 사태를 파악하고 일사불란하게 대응할 수 있는 시스템이 필요하다.

　그래야 기업은 지속 가능한 경영 환경을 구축할 수 있고, 고객은 고객대로 기업에 대한 신뢰를 유지할 수 있게 된다. 해킹 사건 이후 2차 피해방지센터를 개설하고 고객 피해 방지에 주력하고 있는 SK커뮤니케이션즈가 중요한 선례가 될 수 있다. 개인정보보호를 위해 정부와 기업의 지혜로운 협력이 필요하다.

　이재우 동국대 국제정보대학원 석좌교수/초대 한국정보보호진흥원장 jaewoolee0904@hotmail.com