최근 해외에서 불륜조장 사이트로 알려진 ‘애슐리 매디슨’이 해킹을 당했다. 해킹 소식 자체보다 재미있는 것은 이 사이트에 ‘정보완전삭제’라는 19달러 유료서비스가 있었고, 탈퇴하려는 회원으로부터만 매달 15만달러에서 35만달러를 받았다는 사실이다. 탈퇴하려는 회원이 소중하게 생각했던 것은 무엇이었을까.
우리는 정보통신기술(ICT) 융합시대에 살고 있다. 필요한 정보 대부분은 인터넷에서 무료로 쉽게 검색된다. 특정한 장소에 가기만 해도 알아서 근처 맛집과 볼거리 정보가 실시간으로 전송된다.
사물인터넷(IoT), 클라우드, 빅데이터, 모바일을 아우르는 이른바 ‘ICBM 융합시대’에는 우리가 생각하지 못했던 새로운 유형의 서비스가 생겨날 것이다. 그런데 우리는 그 대가로 무엇을 지불하고 있을까. 두 질문에 공통적인 대답은 개인정보다.
개인정보는 축적되면 될수록 빅데이터 분석 원자재로서 가치가 기하급수적으로 상승한다. 이 때문에 세계적으로 이용자가 많은 ICT 기업이 전통적인 제조업 개념으로는 상상하기 어려울 정도로 천문학적인 가치를 인정받고 있는 이유다.
ICT 융합시대에 개인정보는 새로운 종류의 화폐라고 볼 수 있다. 재미있는 것은 이 화폐는 소비자(정보주체)가 얼마든지 발행할 수 있지만 회수는 쉽지 않다는 점이다. 유출된 개인정보는 회수가 더욱 어려워진다.
이미 세계 개인정보 유출사고 톱10에 2014년 국내 신용카드 3사의 개인정보 유출사고가 포함됐다. 한국은 어느 나라보다 ICT 인프라가 잘 갖춰져 있지만 그 대가로 정보유출 가능성도 높다. 정부는 정보통신망법과 신용정보법 등 관련 법령을 개정해 개인정보나 신용정보가 유출되면 구체적인 손해액 입증이 없더라도 300만원 한도 내에서 법정손해배상 책임을 물을 수 있도록 했다.
이미 많은 기업과 금융기관에서 개인정보보호에 많은 노력을 하고 있지만 몇 가지 중요한 부분을 간과하는 때가 있다. 먼저, 개인정보보호 시스템을 구축한다고 하면 흔히 방화벽이나 보안프로그램 도입, 교체와 같은 기술적 보안부터 떠올린다. 하지만 개인정보보호 유출 사고 대부분, 특히 사회적으로 큰 파장을 일으키고 기업과 금융기관에 직접적인 손해를 끼친 사건의 80~90% 이상이 관리적 보안 실패에서 비롯됐다는 점을 기억해야 한다.
개인정보보호에 많은 공을 들이고 있는 업체가 흔히 지나치는 또 한 가지 측면은 바로 개인정보 처리업무를 위탁받은 수많은 수탁사의 정보보호체계 점검이다. 어느 기업도 자체적으로 모든 업무를 처리할 수는 없다. 예를 들면, 외부 배송업체에 청구서 발송업무를 처리하게 하고, 전산시스템 개발이나 유지보수에서도 많은 외주업체를 쓰고 있다. 그 과정에서 개인정보가 전달되는 것은 물론이다. 문제는 외주업체가 위탁사와 같은 수준의 정보보호체계를 갖추지 못한 곳이 많은데 수탁사인 외주업체에서 사고가 발생하면 그 법적 책임은 위탁사가 같이 지게 된다는 점이다. 따라서 고객 개인정보 처리를 위탁하는 기업이나 금융기관은 내부적인 정보보호 노력에 그치지 않고 수탁사 정보보호체계 고도화에도 관심을 갖고 이를 도와주어야 한다. 이는 갑과을 간에 진정한 상생의 길을 모색하는 한 방편이기도 하다.
개인정보보호는 최근 핀테크와 관련해서도 매우 중요한 의미가 있다. 여러 산업에서 활용되는 빅데이터를 분석할 때 어느 정도까지 개인정보 사용을 허용할 것인지, ICT기업이 핀테크 산업에 진출하면서 어느 정도까지 기존에 보유한 개인정보를 활용할 수 있을 것인지가 핀테크 기업 성패를 좌우하게 될 것이다. 핀테크 산업 진출을 준비하는 단계에서는 개인정보 활용 방안 및 그 보안대책과 관련해 특히 각별한 주의가 요망된다.
손도일 법무법인 율촌 변호사 dison@yulchon.com