[200호 기획 : 개인정보 유출] 한국의 개인정보 보호, 그 딜레마

지식정보화, 네트워크화, 디지털, 모바일 등으로 대표되는 21세기의 한국사회는 개인정보 보호와 관련해서는 참으로 기형적인 현상을 목격하고 있는 중이다. 심지어 지난 1월에는 사상 최악의 국내 3개 카드사 개인정보 유출 사태가 발생하여 온 국민들의 불안감은 최고조에 달했다. 그간의 다각적인 정책과 노력에도 불구하고 이러한 개인정보 침해·유출 사고가 끊이지 않는 것일까? 이에 관해 그 문제의 본질을 기존 시각과 사뭇 상이한 관점에서 접근해보고자 한다.

 Ä«µå»ç ´ë±¹¹Î »ç°ú2▲지난 1월, 고객 개인정보가 유출된 카드 3사의 경영진이 대국민 사과를 하고 있다.

개인정보 침해·유출의 심각성

 개인정보 보호와 관련한 한국 국민들의 불안감은 ‘현재 진행형’이다. 지난 1월에는 검찰이 롯데카드에서 2013년 12월 2,600만 건, 농협(NH)카드에서 2012년 10~12월에 2,500만 건, 그리고 국민(KB)카드에서 2013년 6월에 5,300만 건이 각각 유출됐다고 발표하였다. 이어 금융감독원은 긴급 브리핑을 통해 국민카드, 롯데카드, 농협카드사에서 고객정보 1억 4천만 건이 유출됐다고 밝혔다. 이는 국내 개인정보 유출 사고 중 최대 규모로서, 유출된 개인정보에는 성명과 주민등록번호, 휴대전화번호 등과 같은 개인 식별정보를 포함해 최대 19개 항목의 정보가 모두 포함되어 있었다고 한다. 특히, 유출된 신용카드 고객의 개인정보를 이용한 스미싱(Smishing), 피싱(Phishing), 보이스피싱(Voice Phishing) 등과 같은 2차 피해의 우려가 커지면서 정부는 적극적인 대책 마련과 집중 단속에 나서기도 했다.

아니나 다를까 2014년 3월 금융감독원에 의하면 국민카드와 농협카드에서 17만 5천여 명의 고객 정보가 추가로 빠져나간 것으로 확인했다고 밝혔다. 지난 1월의 1차 유출 내역과 비교할 때 국민카드의 경우 가맹점주 14만 명의 개인 식별정보가 추가로 유출되었고, 농협카드는 기존 정보 유출 고객 3만 5천 명의 피해 항목이 2~3개 정도 더 늘어났다고 한다. 이에 더해 2014년 3월 경찰(광주서부경찰서) 발표에 따르면 신용카드 가맹점의 포스(POS) 단말기 설치·관리업체의 부실한 서버 관리로 인해 주점과 식당 등 200여 가맹점에서 신용카드로 결제한 고객들의 신용카드 번호와 개인정보 등 1,200만 건이 유출되었다고 밝혔다. 유출된 정보는 신용카드 결제 정보 450만 건과 개인정보 750만 건 등이었다.

설상가상으로 지난 3월, 인천지방경찰청 광역수사대는 KT 홈페이지가 해킹 당해 가입고객 1,600만 명 중 1,200만 명의 고객정보가 유출되었다고 발표했다. 조사 결과, 범인들은 2013년 2월부터 신종 해킹 프로그램을 이용해 KT 홈페이지에 로그인 후 개인정보를 탈취해온 것으로 밝혀졌다.

이렇듯 반복된 수차례의 대형 유출 사고 이후 금융위원회와 금융감독원은 개인정보의 불법 유통을 막고 또 이미 유출된 개인정보가 스미싱이나 보이스피싱 등과 같은 금융사기에 악용되지 않도록 24시간 감시 체제를 강화하고 금융사에 대한 불시 검사를 실시하는 등 제반 조치를 시행하였다. 또 금융감독원은 포스 단말기 가맹점에 대한 정보보안 관리를 보다 강화할 것을 신용카드사에 강력히 요구했다고 한다. 더불어 한국인터넷진흥원(KISA)의 주민등록번호 클린센터(http://clean.kisa.or.kr)를 통해 자신의 주민등록번호가 이용된 현황을 확인해 부정사용 내역을 발견하면 삭제할 수 있도록 하였고, 네이버(Naver) 및 다음(Daum) 등과 같은 대형 포털에 개인정보 불법 매매 감시 기능을 부여하는 방안도 추진될 것으로 알려졌다. 그러나 이러한 조치들이 그간 줄곧 발생해온 개인정보 관련 문제들을 해결해줄 수 있을지는 의문이다.

 

범죄경력 vs 신용정보

 한국사회의 경우 개인정보와 관련해서 통상적으로 관심을 가지고 대처하려 하는 것은 바로 보관·처리·위탁·유통되는 집합적 데이터로서의 개인정보에만 치우쳐 있고 개인정보 침해·유출의 태생적이고 본질적인 원인에 대한 접근은 간과하고 있다는 점이 문제라고 하겠다. 이러한 딜레마의 대표적인 예로서 범죄경력 조회와 신용정보 조회를 바라보는 관점의 차이를 들 수 있다. 한국에서는 일반 시민뿐 아니라 경찰관조차 타인의 범죄경력 조회를 함부로 할 수 없도록 법으로 규정되어 있다. 『형의 실효 등에 관한 법률』은 누구든지 동법 제6조 제3항에 규정된 목적 이외의 용도로는 범죄경력 자료나 수사경력 자료를 취득할 수 없도록 규정하고 있으며, 위반 시에는 동법 제10조 제2항 규정에 따라 2년 이하의 징역이나 2천만 원 이하의 벌금형으로 처벌하게 된다. 2013년 6월 시행된 『아동·청소년의 성보호에 관한 법률』 상의 규정에 따라 본인 동의를 받은 성범죄 경력조회와 관련한 일부 예외 조항이 있기는 하지만, 경찰관이라고 하더라도 수사상의 목적일 경우에만 정해진 절차에 따라 범죄경력 조회를 할 수 있도록 엄격하게 제한되고 있다.

그렇지만 개인 신용정보의 경우 범죄경력과는 달리 한국사회에서 상당히 다른 잣대가 적용되고 있는 실정이다. 개인 신용정보는 구두로라도 본인의 동의만 있으면 제1금융권(은행) 및 제2금융권을 비롯하여 심지어는 대부업체와 같은 제3금융권에서도 언제든지 신용정보집중기관 또는 개인신용조회기업(Credir Bureau)를 통해 조회가 가능하다. 미국, 독일 등과는 달리 한국은 개인 신용정보를 신용카드사를 포함한 금융기관 간 공유가 가능한데 이것이 건전한 금융질서의 정립이라는 원래 취지와는 달리 금융기관은 물론이고 카드사를 비롯해 통신사, 유통업체, 그리고 대부업체까지도 고객 신용정보 조회가 가능해짐으로써 그 본말이 전도되어 마케팅 등의 목적으로 무분별하게 활용되고 심지어 악용되는 사례까지 속출하고 있다. 또한 상당수가 자신의 신용정보를 누가, 언제, 왜 조회했는지 여부를 제대로 인지하지도 못하고 있는 상황이다. 더욱 놀랍게도 비금융권 기업에도 개인 신용정보가 매년 수천만 건이 조회되고 있는 것으로 나타났다. 금융감독원 자료(2014년)에 의하면 개인 신용정보 취급기관인 나이스(NICE)신용평가와 코리아크레딧뷰로(KCB)가 2013년 한 해 동안 비금융기관·업체에 제공한 신용정보는 모두 4,320만 건에 달하며, 신용정보를 제공한 기업의 수만 해도 3,594개로 밝혀졌다. 이러한 과도한 신용정보 조회는 개인정보 침해 및 유출 사고로 이어질 수도 있기에 그 위험성이 매우 높다고 하겠다. 특히 금융기관 연체 정보나 신용불량 정보와 같은 부정적 정보는 금융기관 및 신용카드사 간 공유로 인해 고객 자신의 금융자산에 대한 객관적 평가나 소명의 기회도 없이 즉시적이고 획일적이며 무차별적인 제재를 받게 됨으로써 금융소비자로서의 자율권과 결정권을 일시에 박탈당하는 피해를 입게 되었다. 앞에서 설명한 범죄경력의 경우 범죄 수사를 담당하는 경찰관이라고 하더라도 수사상의 목적에 한해서 그리고 적정 절차를 준수해야만 조회할 수가 있는 반면, 신용정보의 경우에는 아무런 제약 없이 신용카드사를 포함한 금융기관 간의 공유가 자행되고 있는 것이다. 그렇다면 왜 한국사회에서는 개인정보의 보호에 관하여 범죄경력과 신용정보 간에 이렇듯 비균형적인 저울이 적용되고 있는 것일까? 일반 시민들에게 있어 범죄경력 만큼이나, 혹은 범죄경력보다도 오히려 신용정보를 더 중요하게 여기는 사람들이 많지는 않을는지 신중하게 검토해보아야 할 것으로 판단된다.

 

정보 주체의 자율성 보장

 한국사회에서 인터넷 인프라의 확충과 정보통신망의 급격한 발전은 정보의 집중화 및 온라인/네트워크화를 가중시켰고 그로 인한 부작용으로 개인정보의 침해·유출 사고가 지속적으로 증가하고 있다. 최근에는 대기업을 비롯한 개별 금융기관의 보안에 대한 투자와 보안 수준이 상대적으로 높아짐에 따라 금융정보를 대행·처리하는 기업·기관이나 일반 사용자들에 대한 공격이 급증하는 추세이다. 이러한 개인정보의 침해·유출을 예방하기 위한 대책으로 개인정보를 보관·처리하는 기업·기관에 대한 보안관리 및 점검의 강화, 사용자 정보보호를 위한 유관기관 간 협력적 대응, 관련 법제 정비 및 처벌의 강화, 사용자 PC의 보안 강화, 온라인상에서의 사용자 인증 및 모니터링 강화, 그리고 개인 사용자의 보안의식 계몽 및 향상 등 예방적 차원에서의 다각적인 노력이 필요할 것이다. 그러나 과연 이와 같은 대책들만 답습하여 시행한다고 해서 개인정보와 관련한 근본적인 문제가 해결될지는 의문이다.

미국의 경우 한국과 달리 “사전 이력 조사(Background Check/Screening)” 자체가 가능하며 이 서비스를 전문으로 하는 기업/기관들도 상당히 많다. 이러한 사전 이력 조사 과정을 통해서 임직원 채용 시 지원자에 대한 학력과 경력뿐만 아니라 범죄경력, 신용도, 세금 납부 이력, 사회적 평판 등을 검증할 수 있게 되어 있다. 이제는 한국사회도 개인정보의 보호와 유관 정책의 시행에 있어 더욱 근원적인 측면을 짚어보았으면 한다. 예컨대 범죄경력과 신용정보의 중요성을 해당 정보의 주체인 개인의 입장에서 바라보고 균형 있는 보호의 잣대를 적용하거나 엄격한 법제적 기준과 절차적 통제 하에서 수혜자 우선의 원칙에 따라 정보 주체의 자율성을 존중하는 방향으로 접근할 필요가 있을 것으로 사료된다. 지난 10여 년 동안 여러 법제적 수정·보완 대책을 시행하고 관리·통제를 강화했음에도 왜 유사한 유형의 개인정보 침해·유출 사고가 반복적으로 발생하고 있는지 정말 깊이 숙고해야할 시점이다.

 

최진혁 / 경찰대학교 법학과 교수, 한국기업보안협의회 회장

*그림 설명 및 출처

– 그림1: news.donga.com/3/all/20140117/60235771/1

작성자: khugnews

이글 공유

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다