[ET단상]개인정보 유출을 막는 길

지난 2005년 이후 우리나라 주요 기업에서 유출된 개인정보가 1억2700만건에 이른다고 한다. 전 국민의 개인정보가 두 차례 이상 흘러나간 셈이다.

유출된 개인정보는 불법 대포폰 개통, 명의 도용, 불법 스팸메일 발송, 보이스 피싱 등 각종 범죄에 악용되고 있다.

정부가 근원적인 문제 해결에 나섰다. 개정된 `정보통신망 이용촉진 및 정보보호 등에 관한 법률`에 새롭게 규정한 몇 가지를 살펴보자.

첫째, 고객정보 데이터베이스(DB)에 접속하는 개인정보취급자의 컴퓨터 등을 외부 인터넷망과 차단하도록 의무화했다.

대표적 구현 방법으로는 인터넷 전용 PC와 인터넷망이 차단된 개인정보처리시스템 접속용 PC로 분리해 업무를 볼 수 있도록 조치하는 것이다.

망 분리를 위해서는 비용이 따르지만, 개인정보 유출 사고가 발생했을 때 기업 가치 하락, 소송 제기에 따른 대응 및 손해배상 등을 감안하면 결코 아깝게 생각해서는 안 된다. 최고경영자(CEO)의 이해가 절실히 요구되는 규정이다.

둘째, 개인정보 유출 통지제도로 개인정보 유출 사고 발생 시 유출 개인정보 항목과 시점, 대처방안 등을 이용자에게 신속하게 통지하고 관계기관에 신고해 2, 3차 피해를 방지하기 위한 제도다.

기업은 유출 사고 예방 활동 외에도 사고 시 이용자 통지 방법, 신속한 원인 분석 체계 등을 매뉴얼화해 준비해 놓을 필요가 있다.

셋째, 개인정보 이용내역 통지제도다. 기업은 개인정보 취급 위탁, 제3자 제공 등 이용자의 개인정보를 언제 어떻게 이용했는지 연 1회 이상 정기적인 소식지나 요금 명세서 등을 활용해 이용자에게 알려야 한다.

이는 이용자가 자신의 개인정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지 스스로 결정할 수 있는 권리를 보장하기 위한 규정이다.

넷째, 불필요한 개인정보 보관을 최소화하기 위해 장기간 서비스 미사용자의 개인정보를 파기 또는 분리 보관하도록 하는 개인정보 유효기간제다.

이에 따라 기업은 3년의 개인정보 유효기간을 정해 이용자와 별도 계약을 체결하거나 서비스 이용약관을 개정하는 등의 조치를 취해야 한다.

개인정보 유출 사고에 소송을 제기하는 것이 생소하지 않은 사회에서 이제 고객정보 보호는 기업의 생존과 직결된다. 그렇다고 풀지 못할 과제는 아니다. 관심과 의지만 있으면 해결할 수 있다고 본다.

한 조사에 따르면 국내 기업의 62%가 정보보호에 투자를 하고 있지 않으며, 조직 안에 정보보호최고책임자(CISO)를 두고 있는 국내 기업은 22.3%라고 한다. 개인정보를 체계적으로 보호할 수 있는 기업의 시스템 구축이 급선무다.

기업은 각종 보안 솔루션 등을 구비해야 하며, 기업이 보유하고 있는 개인정보를 계획적이고 체계적으로 보호할 수 있는 전담 인력을 갖춰야 한다.

정기적인 모의 보안대응 훈련을 하거나 개인정보보호 인증제도를 활용하는 것도 현재의 개인정보보호 수준을 진단하고 개선하는 계기가 될 수 있을 것이다.

개정 법률을 비롯한 개인정보보호 관련 제도는 앞으로 보다 강화될 전망이다. 정부 등 관련 기관과 기업, 개인 모두가 끊임없는 노력과 준비가 필요한 시점이다.

황중연 개인정보보호협회 부회장 jyhwang@opa.or.kr