2010년 초 `삼성카드 사건`에서 시작된 국내 카드사의 고객 개인정보 대량유출 사고가 끊이지 않고 있다. 2011년 일어난 현대캐피털과 하나SK카드 사고도 채 잊히기 전에 연초부터 NH농협카드·KB국민카드 세 곳에서 다시 대량의 고객 정보가 유출됐다. 1억400만건의 고객정보가 유출돼 해당 카드를 사용하는 수천만 국민에게 커다란 우려와 불신감을 안겨 주었다.
고객정보 유출은 비단 카드사뿐 아니다. 2010년 옥션, 2011년 SK컴즈(3500만건), 2012년 KT(870만건) 등의 사고도 커다란 물의를 일으켰다. 유사한 사고가 계속 반복되는 까닭은 무엇일까. 하나는 우리 사회 근저에 흐르는 안전 불감증과 집단주의 문화 때문이고, 다른 하나는 잘못된 법 제도와 정책 수행 때문이다.
한국사회는 `개인`이란 개념에 취약하다. 개인이란 본래 서구식 민주주의에서 유래됐다. 개인도 없는데 하물며 `개인정보` `개인정보보호`라는 말은 하루아침에 받아들이기 쉽지 않다. 개인을 존중하는 사회문화적 풍토나 전통이 상대적으로 빈약하다는 말이다. 개인정보보호 정책이나 법령이 쉽게 정착되기 어려운 것도 여기서 기인한다.
둘째, 법 제도와 정책수행 방식 혹은 정책지향 문제다. 법 제도와 관련해서는 특히 `손해배상책임`을 규정한 개인정보보호법 제39조를 다시 손질해야 한다. 이 조항 제1조는 `정보유출 사고 발생 시 개인정보 처리자에게 손해 배상을 청구하고 해당 처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다`고 규정하고 있다. 처리자가 고의 과실 없음을 입증하는 부분은 실제 소송에서 문제된 사례가 거의 없어 결국 `법 위반사실` 입증 여부로 귀결된다.
하지만 위법의 핵심이라 할 `기술적·관리적 보호조치`는 일반인 접근이 어려운 영역인데다 보호조치 위반도 소송 과정에서 피고인 처리자가 자신이 갖고 있는 증거 자료를 충분히 제출하지 않으면 입증 자체가 어렵다. 이 때문에 피해 고객이 처리자의 위법 사실 입증에 성공하기는 하늘의 별 따기만큼 어려운 일이다. 매우 비현실적 조항이란 얘기다.
천신만고 끝에 간신히 소송으로 간다고 하더라도 법원이 피해자 손을 들어준 사례는 눈을 씻고 찾아봐야 할 정도로 드물다. 만약 입법 취지가 정보 주체의 권리 보장에 초점을 맞추고 있다면, 이 조항은 법조계 일각의 지적대로 정보통신망법 제60조처럼 고객에게 유리한 조항으로 개정할 필요가 있다.
다른 한편으로 선량한 개인정보처리자를 보호하고 이들의 자율규제 역량을 강화토록 하기 위해 관련 법령의 기술방식을 바꿔야 한다. `~해야 한다`체의 포지티브 방식을 지양하고 예외 규정 이외에는 포괄 허용하는 네거티브 방식으로 바꿔야만 기업 활동이 용이해지고 법령의 실효성도 높일 수 있다.
정부는 법을 강화하고 개인정보 처리자의 기술적·관리적 보안을 강화하는 데 주력해왔다. 물론 중요하다. 하지만 정보 주체를 더 정보 주체답게 만들고 국민 모두가 타인의 개인정보를 소중히 다루는 한편, 주요 처리자가 국민의 헌법적 기본권을 보호·보장하는 데 좀 더 힘쓰도록 만드는 일이 더 중요할 수 있다. 정보 주체가 강해지면 개인정보 처리자는 자연히 더 조심하며 자구책을 강구할 수밖에 없다.
그렇다면 이처럼 중요한 과업을 무엇으로 달성해낼까. 아무리 생각해봐도 범국민운동밖에는 대안이 없다. 범국민운동은 무엇으로 할 것인가. 디지털 시대 최대의 현안 과제, 사회적 공동선, 국가정보화 전략의 중요 변수라는 인식을 갖고 과감히 임해야만 한다. 우리가 보기에 정부는 이 문제에 대한 정책적·전략적 고려가 부족해 보인다. 창과 방패, 열쇠와 자물쇠의 계속된 전쟁에서 승리하기 위해서는 게임의 패러다임을 근본적으로 바꿀 필요가 있다.
김종구 한국개인정보보호협의회 상근부회장