비슷한 유형의 개인정보 유출 사건이 반복해 터지는 것을 두고 전문가들은 '폭탄 돌리기'가 한계에 달했다고 지적한다.
정부의 소홀한 관리·감독과 개인들의 무관심 속에 기업들이 긁어모은 '빅데이터'는 끝을 모르고 몸집을 불리면서 이 회사에서 저 회사로, 또 다른 회사로 옮겨가는 일이 되풀이됐기 때문이다.
한 회사에서 사고가 일어나도 피해자가 기하급수로 늘어날 수 있는 것 또한 이때문이다.
전문가들은 개인정보가 '돈'이 아니라 보호해야 할 대상이라는 사회적 인식을정착시키고, 정보유출 책임자에 대한 처벌을 강화해 비슷한 사고가 되풀이되지 않도록 해야 한다고 입을 모았다.
◇필요없는 정보까지 긁어모으다 일 터졌다 전문가들은 우선 정보가 곧 '돈'이라는 생각으로 필요없는 정보까지 긁어모으는것 자체가 사고 위험성을 키우는 일이라고 지적한다.
전인경 한국인터넷진흥원(KISA) 침해사고탐지팀장은 23일 "누가 보더라도 기업이 과도한 개인정보를 수집하는 게 사실이다"라고 비판했다.
나종연 서울대 소비자학과 교수도 "법에 따르면 업무에 필요한 최소한의 정보만수집하고 필요한 기간이 지나면 폐기해야 한다"며 "하지만 기업은 언젠가, 어디엔가쓸 일이 있을 것 같다는 생각으로 과도하게 정보를 수집해 계속 보유하는 경향이 있다"고 지적했다.
실제로 최근 카드3사 정보유출 사태 직후 재발방지 종합대책을 발표한 금융위원회는 금융사들이 고객으로부터 많게는 50가지가 넘는 항목의 정보를 수집해 보유한것으로 파악했다.
기업뿐 아니라 국민도 이런 정보수집이 불합리하다는 사실에 대해 점차 둔감해지고 있는 것도 문제다.
전인경 팀장은 "어떤 분들은 '내 정보는 이미 여기저기 유출됐으니 상관하지 않겠다'고 자포자기하기도 한다"고 말했다.
기업들이 무차별적으로 정보를 긁어모으는 데 대해 제대로 된 관리·감독을 하기 어렵다는 점도 극복해야 한다.
이규정 한국정보화진흥원 개인정보보호단장은 "지난해 안전행정부와 정보수집가이드라인을 만들어 서비스에 꼭 필요한 정보가 무엇이고 임의로 동의를 받아 수집할 정보가 무엇인지 정하도록 했다"며 "하지만 일일이 찾아다니며 규제하기에는 한계가 있다"고 토로했다.
◇"처벌 강화해야 개인정보를 '돈'으로 보지 않는다" 전문가들은 우선 개인정보를 유출한 책임자에 대한 '솜방망이 처벌' 관행을 뿌리 뽑아야 한다고 강조했다.
처벌 규정을 강화하는 것이 개인정보를 '돈'이 아닌 '지켜야 할 대상'으로 바라보게 하는 가장 빠른 길이며 비슷한 사고가 발생하지 않게 하는 지름길이라는 것이다.
예를 들어 개인정보보호법을 살펴보면 고유식별정보를 처리할 경우 안전성 확보조치를 취하지 않았다가 개인정보를 분실·도난·유출당하면 1천만원 이하의 벌금을문다.
보안 시스템을 마련하는 데에 수억원 이상이 든다는 점을 고려하면 기업 입장에서는 문제가 생겼을 때 벌금을 내는 게 훨씬 경제적이라고 판단할 수 있다.
정보보호업체인 잉카인터넷의 오경주 팀장은 "기업은 (보안을 위한 인적·물적관리에) 비용이 많이 들기 때문에 투자를 하지 않는다"며 "정책을 강화해서 돈이 들더라도 투자해야 한다는 인식을 심어줘야 한다"고 강조했다.
처벌 강화만이 능사가 아니므로 보안에 대한 의식 수준을 높이는 일이 더 시급하다는 주장도 나온다.
김인석 고려대 정보보호대학원 교수는 "관리 소홀에 대한 처벌을 엄격하게 할필요는 있지만 문제가 터진 다음의 처벌은 큰 의미가 없다"며 "정보통신망법 등은이미 처벌이 상당히 강하다"고 설명했다.
김 교수는 "내부적으로 대량의 데이터를 전달할 때에는 기본 데이터를 뒤섞어쓸모없어 보이는 형태로 만들어주는 등 관련 프로세스가 갖춰져야 한다"며 "정상적인 데이터를 만지는 사람은 이런 통제도 어렵기 때문에 보안의식 교육이 중요하다"고 강조했다.
금융권 뿐 아니라 각 업계에서 자율적으로 가이드라인을 만들어 정보보호에 나서야 한다는 의견도 제기된다.
이규정 단장은 "협회 등을 통해 자율적으로 의견을 모아서 필수적인 정보만 수집하자는 논의가 있다"며 "보험·병원 등 업종별로 정보수집의 공통된 기준을 만들필요가 있다"고 말했다.
정보를 수집하는 쪽이 아니라 정보를 제공하는 개인들의 보안 의식이 너무 낮다는 지적도 있다.
이미 많은 곳에 개인정보를 제공했고, 수차례 유출 사고에 본인의 정보도 새어나갔을 테니 개인정보 보호에 적극적일 이유가 없다는 '허무주의'를 버려야 한다는것이다.
이규정 단장은 "법률적으로는 서비스를 위한 필수 정보 외에 선택 정보는 수집하지 못하게 돼있는데, 지금껏 정보 제공 주체가 이런 데 무신경했고 정보를 수집하는 쪽은 이런 무관심을 이용한 측면이 있다"고 지적했다.
전인경 팀장은 "이용하지 않는 사이트를 탈회하는 것이 가장 근본적인 (정보보호) 방법이다"라고 조언했다.
다만, 개인들의 적극적인 정보보호 의식을 요구하기 전에 소비자들이 정보 보호에 신경 쓸 수 있는 환경을 만들어줘야 한다는 의견도 적지 않다.
나종연 교수는 "개인정보를 제공하지 않으면 서비스를 이용하지 못하는 경우가많은데 이는 소비자가 의사결정을 할 수 없는 환경이다"라며 "최소한의 정보만 제공하고 서비스를 받되 그 이상의 정보를 주면 다른 서비스를 받을 수 있는 진짜 '선택권'을 보장해야 한다"고 강조했다.
전인경 팀장은 "안전행정부 산하 개인정보보호위원회나 방송통신위원회 등에서대대적인 정보보호 홍보를 해야 한다"며 "고객이 탈회한 시점에 사이트에서 고객 정보가 삭제됐는지 여부 등도 정부에서 점검해줘야 한다"고 제언했다.
cindy@yna.co.kr, ksw08@yna.co.kr(끝)<저 작 권 자(c)연 합 뉴 스. 무 단 전 재-재 배 포 금 지.>