ULSANSTAR

엉뚱한 독서가

개인정보 유출 사건 누가 책임지는가?

올해도 어김없이 대형 개인정보 유출 사건이 태풍처럼 들이닥쳤다.
누구 하나 책임지지도 않는 개인정보유출 사건은 매년 반복되면서 점점 문제의 심각성은 더 커져만 가고 있다.

이쯤 되면 기업의 안일한 대처와 아직도 구시대적 정보보호를 외치기만 하는 정부의 태도에 분노를 금치못하는 실정이다.
어느 누구 아니 어느 기업도 책임지는 기업이 없고 국민들만 바꾸고 조심하라고 당부만 하고 다시 터지는 재발이 끊이질 않고 있다.
도대체 어디부터 꼬인거길래 아직도 이런 사태가 매년 반복되는 것일까?
그리고, 도대체 이 사태(사건)은 누가 책임을 져야 하는 것인가?

우리나라의 개인정보 유출 사건들은 2008년을 기점으로 수시로 재발되고 있다.
그러나, 어느 기업하나 제대로된 처벌을 받거나 법적으로 소송을 통해 피해자에게 보상된 경우는 극히 드물다. 현재 우리나라에서는 집단소송제도가 증권쪽에서만 성공한 사례가 있을 뿐 이러한 사태가 났을때 구제해주는 제도 조차도 미비한 상태이다.
아마 미국의 경우였으면 해당 기업은 천문학적인 금액을 피해자들에게 물려줘야했을 것이다.
(집단소송제의 좋은 예는 현대.기아자동차 북미법인 집단소송 4190억 배상합의)
이처럼 한국 내에서 집단소송제도를 이용해서 소송을 했다고 하더라도 동일한 내용의 소송도 소비자 패소하는 경우가 많았다.[1] 뿐만 아니라, 집단소송을 하더라도 소송에 참여한 사람만이 보상을 받을 수 있을 정도로 극히 드물다는 것이다.[2]

이처럼 매년 반복되는 개인정보 유출 사고에도 불구하고 누구하나 제대로 된 방지책이나 제대로된 보상은 없다는 것이다.
어쩌면 그러다 보니 개인정보를 가지고 먹고사는 기업들까지도 그 책임에서 자유롭다고 할 수 있다.
그래서 사과만 하고 일단락되거나 극히 일부 과징금정도로 끝나는 경우가 많다.[3]

지난 2005년 NC소프트를 시작으로 2008년 옥션, 하나로텔레콤(현. SK브로드밴드), GS칼텍스, 2010년 신세계몰, 아이러브스쿨, 대명리조트 등 25곳, 2011년 현대캐피탈, 전국민이 다 털린 SK커뮤니케이션(네이트/싸이월드), 2012년 EBS, KT, Coway, 2013년 시티은행, SC은행(전, 제일은행) 등 수십곳의 안일한 대처로 보호받아야될 개인정보가 이미 유출된 사건들이 반복되었다.

거기다 현재 가장 크게 이슈가 되고 있는 KB카드(은행), 롯데카드, NH카드(농협)까지 포함하면 국민의 대다수의 정보는 이미 구글의 DB에 차곡차곡 저장되어 있을 듯 하다.

왜 이처럼 반복적인 사건이 계속되는 것일까?
현행 개인정보보호법을 살펴보면, 개인정보처리에 따른 벌칙과 과태료가 일반 사람이 봐도 상당히 약하다는 느낌이 든다. 이러한 형편인데 기업은 껌값(?) 정도로 생각하기 쉽다.
이전에 유출된 사건들을 보도라도, 실제 과징금의 규모를 보면, 실제 유출사건을 일으킨 주범에 속하는 사람들만 구속(법적 구속 1년 7개월 정도였다)되거나 과징금(과태료) 수준도 미비하다(KT의 경우, 7억정도의 과징금을 받았고, EBS는 단돈 1천만원이 부과되었다).
뿐만 아니라, 실제로 재판이 진행된 내용을 보면, 넥슨의 경우, 정보관리 담당자의 책임이 없다고 판결이 났으며, SK컴즈는 실제 정보유출과 관계가 없다는 어이없는 결과가 나왔다.(그 이후 일부 집단소송을 통해 일부 패소판결이 나서 100만원 정도씩 배상하라는 판결이 나긴했으나, 전체 대상은 아니었다). EBS의 경우는 정보보호관리법에 의해 탈퇴한 개인정보를 소지했다는 것으로 과태료 1천만원만 청구된 상태이다.
즉, 그 누구도 이런 유출 사건에 대한 처벌을 제대로 받지 않았다는 것이다.
그러다 보니 개인정보보호법에 의해 개인정보는 보호되어야 하지만, 그 누구도 심각하게 생각하지 않다는 것이다.

사실 우리나라에서는 개인정보보호를 위해서 전자서명법까지도 함께 사용되고 있다.
이는 흔히 말하는 공인인증서를 의무사용하도록 하는 법률인데, 사실 이 법률로 인해 기업의 개인정보보호의 의무는 더욱 옅어지고 있는 것은 사실이다.
개인정보보호를 위해서는 온갖 보안프로그램을 설치해야되고, 공인인증서를 통해 카드결제나 구매를 해야만 된다는 것인데, 사실 이것으로 인한 피해는 극히 드물고, 이처럼 기업의 안일한 정보관리에 따른 피해는 엄청나다.
그리고 이전부터 어느나라에도 쓰지 않는 공인인증서 제도(Microsoft의 액티브X기술을 이용한 프로그램)를 그대로 유지하고 있다.
Microsoft에서조차 액티브X기술이 불안전하므로 사용하지 말것을 권장하고 있으며, 현재 많이 쓰이는 인터넷 익스플로러의 최신버전에서는 액티브X를 포함하지 않고 있다.(보안상의 취약으로 인한 사용불가 선언)
그럼에도 정부와 국내 기업들은 여전히 고집하고 있는 상태이다.

개인정보보호법이라는 법률이 정해진 범위해서 취급관리되어야 함에도 이처럼 기업은 개인의 의무나 사용문제로 책임을 전가하거나, 이런 큰 사건이 발생하더라도, 다시 개인의 보안프로그램을 교체하거나 조심하라고 당부하는 것이 전부인 상태이다 보니 매년 지속적으로 발생하고 있어 보인다.

외국의 경우는 과연 개인의 정보보호는 어떻게 이루어질까?
일단 은행의 사이트를 접속해도 특별히 설치하는 프로그램도 없다. 그리고, 나의 정보를 별도로 받지 않는 경우가 많다. 필수적인 정보(즉, 개인이 접속할 경우, 확인할 수 있는 범위내의 정보)만을 취급하고 있다는 것이다.
전자상거래의 경우는 어떠한가?
세계 최대 사이트인 아마존을 접속해도 어디하나 나의 정보를 묻지 않는다.
이메일 정보와 접속할 때 필요한 비밀번호 정도이다.
그리고, 실제 구매를 할 때도 카드번호와 유효기간만 입력하면 된다.(카드의 정확한 정보확인을 위해 1달러가 결제되었다 취소되는 방법으로 카드사용가능여부만 체크할 뿐이다)

그렇다면 이들은 개인정보를 이렇게 보호하지 않아도 되는것인가?
우리나라에서 같으면 온갖 보안프로그램이 설치가 되었을 것이고, 키보드 암호화를 통해 별도 화면에서 카드번호나 계좌번호를 넣고, 2중, 3중으로 비밀번호를 걸어서 이용해야 하는데 외국의 사이트는 이렇게 너무 허접할(?) 정도로 허술해보여도 괜찮은건가?
사실 외국의 경우, 최소한의 정보만 취급하고, 그 뒤 주요 문제가 될 수 있는 민감정보는 아예 저장도 하지 않는다. 설사 저장을 하더라도 해당 사이트를 운영하는 운영자 즉, 기업에 책임이 있다는 것이다.
그래서, 개인정보는 당연히 자체적으로 개발된 보안프로그램을 통해 암호화하여 2중, 3중으로 관리가 되고 있어, 실제 개인은 단순히 카드번호나 계좌번호만 알고 있으면 그만이라는 것이다.

이처럼 책임의 주체가 분명히 개인정보를 관리하는 측, 즉 기업에 있다는 것이다.
만약 외국에서 개인정보 유출 사태나 사건이 발생한다면 해당 기업은 어떻게 될까?
집단소송제도를 통해 소송을 걸 확률이 많을 뿐더러 소송에 휘말리게 되면 일부 소송에 참여한 사람만이 아닌, 피해자들 즉, 전체 가입자들에게 일정금액을 전부 배상해야된다.
만약 이번 사건처럼 KB은행이나 롯데카드, 농협의 경우라면, 유출확인된 1700만명에게 일정액(외국은 아마도 1인당 최소 1억원이상이 될 가능성이 높아보인다)을 배상해야된다.

이처럼 엄격한 규제를 통해 공인인증이나 보안프로그램없이도 가능하다는 것을 보여준다.

국내도 사실 보면 불필요한 정보수집을 허락하고 있다.

Cap_2014-01-20_08-54-24-655_복사본
<금일 국민카드 유출된 내용을 확인한 결과다>

이처럼 불필요한 정보가 모두 관리되고 있다는 것이다.
내게 필요한 정보는 사실 별로 없다. 내가 계좌나 카드를 조회하기 위해서 필요한 정보라고는 주민등록번호, 이메일, 핸드폰번호나, 계좌번호정도일것이다.
내 소득수준이나 집주소가 과연 카드사에서 필요한 정보인가라는 의문이 든다.
카드사에서 선물을 준다고 하면 그때 집계해도 될 것이고 굳이 카드 수령을 위해 필요하다면 일시적으로 보관하고 삭제해야 되는 것이 맞아보인다. 그리고 이메일 청구서를 받는 마당에 굳이 주소를 계속 가지고 있어야 될 의무도 없어 보이고, 직장도 이미 가입할 때 확인 차원이라면 굳이 필요없어보인다.
그런데도, 이 많은 정보를 제대로 관리도 하지 않은 채 보관하고 있었다는 사실이다.
물론, 처음에 가입할때 이 모든 정보를 가지고 있겠다라는 것에 서명하지 않으면 카드발급이 안된다.
이는 개인의 정보를 가지고 장사를 하겠다는 것인데, 그렇다면 이런 정보들이 유출되지 않도록 해야 할 의무가 있다.

이처럼 근본적으로 개인정보가 유출될 가능성은 개인의 의한 문제보다는 기업들의 문제가 많다.
그러나 역대 유출사건들의 내용을 보면[4] 아무런 처벌이나 제재를 받지 않은 경우가 허다했다.
설사 받아도 꼬리자르기식으로 책임자 몇몇만이 처벌되는 경우가 많았다.
만약 우리나라에서도 집단소송제도가 확립된다면 아마도 다시는 이런 일이 발생하지 않을 정도의 고액 청구건이 발생할 수 있을 것이다.
이런 제도가 제대로 되지 않더라도 정부에서는 해당 기업이나 단체에게 천문학적인 과징금을 청구한다면 아마도 다시는 이런일이 없을지도 모른다.
아울러 제도적 정비도 필요해 보인다.
법적으로 과태료나 벌칙의 조항을 강화하고, 문제가 많은 공인인증서(전자서명법)을 개선하여 기업에서 해당 개인정보를 취급관리할 경우 책임과 의무를 강화한다면 아마도 다시는 이런 사태가 발생하지 않을 것이다.
뿐만 아니라, 개인정보 획득 시 필수항목만을 수집하도록 법적으로 조치하고, 취급된 정보는 수시로 폐기해서 유출을 사전에 막는 법안이 필요해보인다.

IT강국이라는 대한민국의 개인정보 취급은 여전히 후진국보다도 못한 실정이다.
실제 정보를 취급하고 관리하는 것을 전적으로 개인에게 돌리다 보니 기업의 안일한 대처와 관리는 앞으로도 지속적인 사건을 발생시킬 가능성이 높다.
뿐만 아니라 법을 개선해야만 해당 사태들이 발생을 방지할 수 있는데도, 이해관계가 엮여있는 한국의 기업 시스템상 쉽게 개선될 것 같지도 않다.

단순히 어떠한 보상도 책임지겠다라는 논리보다는 집단소송제나 법률적 조치를 통해 예방책을 마련해야한다.
이미 옥션이나 SK컴즈 사태를 통해서도 국민들 대다수의 정보는 이미 유출된 상태이다.
거기다 금융권에서조차 이런 사태가 지속된다면 국민들은 외국의 은행을 이용해야 될 지도 모른다.
정작 중요하게 법률적으로 제도를 마련했음에도 이처럼 방관하다보면 제2의 제3의 사태가 안나라는 보장이 없다.

이번 기회에서라도 강력한 조치를 통해 다시는 재발하지 않도록 해야 할 것이다.

 

[1] 현대자동차 연비 소송서 소비자 패소 – 연합뉴스

[2] SK컴즈 정보유출사고 100만원 손해배상

[3] 873만명 정보유출한 KT에 과징금 7억5천300만원

[4] 게임부터…은행까지 개인정보 유출 흑역사

 

, , , , , ,

댓글남기기