이강신 단장, “개인정보침해, 개인정보보호 중요성 인식저조가 원인”

[보안뉴스 김정완] 온라인서비스제공자(OSP)의 이용자 개인정보 수집목적은 다양하다. 그러나 개인정보보호보다는 이윤추구를 중요하게 여기기 때문에 보호가 자칫 소홀해 복잡하고 다양한 개인정보 침해 문제가 발생할 수 있다. 그렇다면 이러한 OSP의 개인정보호책임은 무엇이며, 그에 따른 정부의 역할은 무엇일까?

한국정보보호학회와 한국저작권위원회, 한국인터넷진흥원(KISA)이 공동으로 지난 26일, ‘온라인서비스제공자의 사회적 책임과 정보보호의 역할’이란 주제로 개최한 ‘한국정보보호학회 2010 정보보호 컨퍼런스’에서 이강신 KISA 개인정보보호단장은 그에 대한 정부기관 입장에서의 답을 제시했다.

우선 이날 강연에서 이강신 단장은 OSP의 개인정보 침해 주요 사례를 소개하면서 특히 P2P 사업자의 경우, 교묘한 개인정보 활용 동의 획득 절차에 대해 예시를 들며 “사업자는 이용자가 이미 동의하였으므로 적법하게 개인정보를 제공한 것이라고 주장”하고 “무료다운을 미끼로 개인정보를 수집, 판매해 부당익득을 취한다”고 지적했다. 또한 이 단장은 허술한 기술적·관리적 조치 미비로 인한 개인정보 유출에 대해서도 “OSP는 본인확인 절차를 생략해 결국, 사업자의 허술한 기술적·관리적 조치로 이용자의 개인정보가 유출”되며 “해당 사업자는 안전성 확보를 위한 기술적 조치의 중대성을 인식하지 못하고 있다”고 지적했다.

이어 이강신 단장은 OSP의 개인정보 침해 문제점으로 앞서 언급한 개인정보의 기술적·관리적 조치 미흡 등을 들며 사업자의 개인정보보호 마인드가 미흡하다며 ▲정보통신망법 등 관련 법령을 교묘한 방법으로 위반 ▲계열사, 제휴사, 패밀리사이트 등을 통해 개인정보를 제한 없이 공유 ▲국민의 개인정보 침해 우려에 대한 기업의 사회적 책임성 미흡 ▲개인정보를 무조건 많이 보유하는 것이 이득이라 여기는 잘못된 인식 등을 제기했다.

특히 이강신 단장은 “특정 대기업에서는 3자 동의란 약관에 의해 400여군데가 넘는 계열사 등에 고객개인정보를 넘겨주는 경우도 있다”고 말하고 “사업자는 이용자에게 상대적으로 제한적인 개인정보 권리를 부여하며, SNS 등 신규 서비스에 의한 이용자의 개인정보 자기결정권 통제가 미흡하다”며 이용자의 개인정보 자기결정권(통제권)이 제한적이라고 강조했다. 즉, 이용자는 자신의 개인정보에 대한 수집 범위 조절 능력이 필요하다는 말이다.

또한 이러한 국민의 개인정보보호를 위한 정부의 역할로 이강신 단장은 크게 ‘사전예방’, ‘사고대응’, ‘사후조치’로 구분해 발표했다.

‘사전예방’으로는 ▲주민번호 대체 수단 아이핀 보급 ▲보안서버 보급 확대 ▲개인위치정보의 사회적 활용방안 마련 ▲개인정보보호법 제정 ▲개인정보 DB 암호화 저장 확대 ▲개인정보보호 관리체계 인증 추진 등을 들었으며, ‘사고대응’으로는 비밀번호 변경 캠페인과 118 개인정보 노출대응 상황실 및 핫라인 운영 등과 특히, ‘개인정보 관리 실태점검을 통해 사업자의 개인정보보호 수준을 지속적으로 개선해 가야 할 것이라고 강조했다.

아울러 ‘사후조치’로는 118 e-콜센터 등을 통한 민원처리 강화와 개인정보 침해 관련 처벌 강화, 그리고 개인정보 유출 시 정보주체에게 통보를 의무화할 것 등을 발표했다.

한편 이날 발표에서 이강신 단장은 “개인정보 침해 발생은 무엇보다도 개인정보보호의 중요성 인식이 저조한 것이 주요 원인”이라고 지적하고 “이용자, OSP 및 정부 등 사회 모든 분야에서 협력해 개인정보보호 인식 향상 노력에 힘을 기울여 건전한 온라인서비스 환경 조성과 관련 산업의 진흥을 꾀해야 할 것”이라고 결론지었다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>