강신기 행정안전부 개인정보보호과 과장
오상진 방송통신위원회 개인정보보호윤리과 과장
끊임없는 개인정보 유출사고와 그에 따른 국민들의 불안감이 급증하고 있는 가운데 우리나라 개인정보보호 강화와 관련 정책 및 제도 마련 등을 위해 노력하고 있는 강신기 행정안전부 과장과 오상진 방송통신위원회 과장이 만나 우리나라의 개인정보보호 수준 향상과 발전 방향에 대해 이야기를 나눴다.
강신기 올해 우리나라가 전자정부 글로벌 대상을 수상했다. 이는 전자정부 분야에서는 세계 최고의 기술을 갖고 있다는 것을 의미한다. 하지만 개인정보보호와 관련해서는 미흡하다는 평가다. 올 한해만 해도 약 7,000만건의 개인정보가 유출되는 사고로 사회적으로 큰 문제가 됐다. 진정한 IT강국으로 살아남기 위해서는 개인정보보호법과 같은 제도적인 기반이 필요하다. 행정안전부는 지난 3년간 개인정보보호법 제정을 위해서 많은 노력을 하였으나 처리되지 못하고 아직도 국회에 계류 중이다. 그동안 크고 작은 쟁점들이 논의를 통해 합의가 되었지만 추진체계와 관련해 상임위원 상설화가 아직 합의가 안 되었기 때문이다. 그러나 개인정보보호법을 시급히 제정해야 한다는 당위성에 이견이 없는 만큼 다음 회기에서는 반드시 통과될 것으로 믿고 최선을 다할 것이다.
오상진 개인정보보호법의 중요한 취지는 ‘정보통신망이용촉진및정보보호등에관한법률’(이하 정통망법)에 규율되지 않는 민간영역의 사각지대가 있기 때문이다. 이 정통망법의 사각지대를 보완하고 규율하기 위해서 개인정보보호법이 당연히 제정돼야 한다. 그런데 핵심 문제를 벗어나 추진체계의 문제로 법 제정이 늦어지고 있는 것에 대해서는 매우 안타깝게 생각하고 있다. 한 예로 지난 6.2지방선거에서 각 후보자들은 개인의 정보를 이용해 유권자들에게 SMS(Short Message Service, 단문 문자 서비스)를 대량으로 보낸 사례가 여러 후보들에게 있었다. 이러한 경우 각 후보측에서 개인정보를 오남용했다는 심증은 있는데 이를 규율할 수 없었던 이유 중 하나가 개인정보를 활용한 주체가 후보자라는 점이다. 정통망법에서는 정보통신서비스의 제공자가 정보통신서비스 이용자들의 개인정보를 오남용했을 경우에만 법 위반에 대한 규제가 가능하다. 지방선거를 목적으로 후보자들이 개인정보를 이용한 부분은 정통망법으로 규율할 수 없다. 이에 개인정보보호법이 마련된다면 개인정보를 오남용하는 행위에 대해서 보다 광범위하게 규율할 수 있을 것으로 기대한다.
일관된 개인정보보호 정책과 제도 시급
강신기 개인정보보호와 관련해서 일반법으로서의 개인정보보호법이 제정이 되어있지 않다는 점과 개인정보를 취급하는 기업과 일반 국민들이 개인정보에 대한 낮은 인식 및 이에 대한 투자가 적다는 점이 우리가 해결해야 할 시급한 과제라고 생각한다. 특히 우리나라는 개인정보보호와 관련해서 개별법 체계를 가지고 있다. 공공기관을 규율하는 ‘공공기관 개인정보보호법’과 민간을 규율하는 ‘정보통신망법’이 있고 이 외에도 교육법, 의료법, 금융정보보호법, 세법 등 38개의 개별법에서 개인정보보호를 규율하고 있기 때문에 법의 사각지대가 존재한다. 현재 우리나라의 영리 및 비영리기관을 모두 합하면 310만 여 개의 기관과 단체가 있는 것으로 파악된다. 이중 개인정보보호와 관련 규율을 받고 있는 단체는 50만 여 개에 불과하다. 나머지 260여 만 개가 법적 규제를 받고 있지 않다는 것이다. 작년 개인정보침해사건 신고 접수는 3만 5,000여건이고 이중 2만 3,000여건이 개인정보보호법의 적용을 받지 않는 사업자였다. 때문에 이들이 개인정보를 불법적으로 유출했다고 해도 책임을 물을 근거가 없다. 또한 개별법에 의해 규율되다 보니 개인정보보호호의 추진체계나 처리기준 등이 달라 일관된 정책을 추진할 수 없어 국민들이 혼란스러워 한다. 일관된 정책 추진을 위한 법ㆍ제도 마련이 시급하다.
오상진 기본적으로 개인정보보호가 잘 되지 않는 이유는 국민들이 아직도 자신의 정보를 보호해야 한다는 인식이 낮은데 있다고 본다. 최근 개인정보 수천만건이 유출되는 사건이 발생했는데 이에 대해 언론이나 국민들의 반응이 생각했던 것 보다 크지 않았다고 느꼈다. 비슷한 사건들이 자주 발생하니까 국민들도 개인정보유출에 대해서는 이제 포기한듯 무관심한 반응도 우려된다. 기본적인 법 규제도 중요하지만 소비자가 자신의 정보를 보호하려는 사회적 규제가 약하다고 할 수 있다. 가까운 일본의 예를 보면 기업이 개인정보를 유출했다고 해도 정부가 과징금이나 과태료를 처분하는 법 규제가 없다. 법적 규제가 없는데도 개인정보보호가 잘 되고 있는 이유는 일본 국민들에게 강한 사회적 규제가 있기 때문이다. 즉 일본에서 기업이 개인정보를 오남용한 사례가 밝혀진다면 그 기업은 사회에서 완전히 매장되고 시장에서 퇴출되는 상황이 되도록 이용자들이 압박을 한다는 것이다. 이를 한마디로 ‘한번 걸리면 바로 사망한다’는 의미로 ‘원 스트라이크 아웃’이라고 한다. 이에 비해 우리나라는 주민등록번호라는 특이한 구조를 가지고 있고 국민들이 이를 타인에게 제공하는 것에 익숙하다 보니 개인의 프라이버시에 대한 침해의 위험이 타 국가에 비해서 높다.
이에 대해 정부도 국민 자신의 정보가 얼마나 중요한지, 또 누군가에 의해 오남용 됐을 때 어떤 폐해가 생기는 지에 대한 홍보를 해야 한다. 또한 국민들이 자신의 주민등록번호 등의 개인정보를 보호하려고 해도 구조적인 한계가 있기 때문에 정부에서는 이를 대체할 수 있는 아이핀 제도를 정착시키기 위해서 노력해야 한다.
개인정보보호 강화를 위한 다양한 정책 추진
강신기 행안부는 개인정보보호를 위해 다양한 정책을 추진할 계획이다. 개인정보에 대한 인식이 높아지면서 개인정보침해에 대해 정보주체들이 집단적으로 손해배상을 요구하는 경우가 많아질 것으로 예상된다. 현재 개인정보 침해로 인한 집단적 소송은 60여건에 이르고 소송수행인원도 20여명에 이르고 있다. 이로 인해 머지 않아 기업들이 파산하는 경우도 발생하게 될 것이다. 기업의 비즈니스 연속성을 유지하고 개인정보침해에 대한 안정적 배상을 위해 사이버 보험제도의 도입도 검토하고 있다. 이는 공공기관이나 기업에서 개인정보침해 배상을 위한 보험을 드는 것인데 전체를 대상으로 의무화할 것인지, 아니면 공공기관부터 의무화하고 상황을 봐 가며 기업으로 확대할 것인지는 시간을 두고 검토할 계획이다.
또 개인정보 유출사고 대부분이 취급자의 부주의나 전문성 부족이 원인이기 때문에 전문 자격증 제도 도입도 검토 중이며 모니터링 시스템을 구축해서 웹사이트에 노출된 개인정보를 지속적으로 탐지ㆍ삭제할 것이다. 아울러 실태 점검을 수시로 해서 법 준수 여부를 확인하고 그 결과에 대해 엄격한 조치를 할 계획이다. 또 주민등록번호 클린 센터를 운영하고 있는데 이를 통해 누구나 손쉽게 본인이 가입한 웹사이트 목록을 확인하고 불필요한 웹사이트를 탈퇴할 수 있도록 기능을 개선할 계획이다. 또 공공기관 개인정보관리 수준진단은 중앙부처와 지자체는 물론 공사ㆍ공단까지 확대하고 그 결과가 경영 평가에 반영되도록 노력 할 것이다. 그리고 개인정보를 수집하고 활용하는 정보화 사업의 경우 사전에 개인정보가 침해될 소지가 있는지 사전에 분석하고 취약점을 보완하도록 하는 사전영향평가제도도 실시할 계획이다.
오상진 i-PIN(Internet Personal Identification Number, 아이핀)제도가 아직까지는 기대보다 보급되지 못하고 있으나 올해나 내년까지는 활성화돼야 한다고 생각한다. 이를 위해 방송통신위원회도 많은 노력을 할 것이고 행정안전부에서도 적극적으로 도움을 주고 있다. 특히 국민들에게 아이핀의 편리성과 정보를 보호하기 위한 적절한 제도로 인식하도록 홍보할 것이며 기업의 입장에서도 아이핀을 쉽게 사용할 수 있도록 기술적으로 지원할 것이다.
최근 언론에 보도된 아이핀과 관련된 사고의 경우 아이핀의 문제가 아니라 금융기관에서 본인을 확인하는 절차가 허술한 문제를 범인이 악용하여 아이핀을 발급받은 상황으로 아이핀 자체의 문제는 아니기 때문에 오해가 없길 바라며 이번 사건을 계기로 아이핀을 좀 더 안전하게 만들어서 더욱 확대 보급하고 더 이상 주민등록번호가 온라인상에서 사용되지 않는 여건을 만들어 나갈 것이다.
또한 개인정보보호관리체계 인증 제도를 도입할 예정이다. 기업의 입장에서 보면 자사의 개인정보가 노출되는 경우 기업의 리스크가 큰데 기업주 입장에서 시스템의 규모가 크고 복잡하기 때문에 개인정보를 어디까지 보호해야 하는지 판단하기 어려운 상황이다. 이에 정부에서 기업에서 이정도의 수준으로 보호해야 한다는 기준을 기업에게 제시하고 이 기준을 충족하는 기업에 인증을 부여한다는 것으로 PIMS(Personal Information Management System, 핌스)라고 한다. 이 제도가 도입되면 기업들은 개인정보보호 수순을 한층 높여 이용자들에게 신뢰감을 줄 수 있고 법적인 문제 발생 시에도 유리한 수단으로 이용할 수 있기 때문에 주목받을 것으로 기대한다. 그리고 일부 법 제도를 정비해 새로운 과징금 제도를 도입하려고 한다.
이는 기업에서 개인정보가 유출됐을 때 상당한 부담이 될 수 있기 때문에 개인정보보보호를 위한 강한 압박 수단이 될 수 있다. 아울러 제도적 측면에서 방통위가 관리하는 전기통신사업자, 별정통신사업자, 부가통신사업자 등에 대해서는 사업자들이 사업을 시작할 때 개인정보보호와 관련해서 법적인 요구사항을 제대로 적용하고 있는지 확인할 수 있는 제도를 준비하고 있다.
기관별 유기적인 업무협조 체제로
개인정보보호 강화
강신기 현재 행안부는 범부처 개인정보를 총괄하는 기능을 하고 있다. 그리고 개별 법률에 의해 각 해당 부처에 업무가 분담되어 있다. 그런데 가장 핵심 역할을 하는 부처는 행안부, 방통위, 보건복지부, 금융위, 경찰청 등이고 이들 부처가 서로 협조하는 것이 중요하다. 그동안 상호협력이 미흡한 부분도 있었다. 이러한 문제를 해결하고 좀 더 빠른 업무 처리를 위해 관계기관이 7월 14일 ‘개인정보보호업무 효율화를 위한 업무협약’을 체결했다. 협약을 계기로 업무상 시너지 효과를 낼 수 있을 것으로 기대한다. 특히 민간인들에 대한 교육과 컨텐츠 개발 그리고 대국민 홍보와 광고 등을 공동으로 하면 시너지를 낼 수 있을 것이다. 또 인터넷상 주민번호인 아이핀 보급을 활성화하기 위한 노력과 법위반 사업자 실태점검을 공동으로 할 수 있고 실태 점검 후 결과에 따른 처리 기준을 표준화 하는 등 다양한 분야에서 신속한 대처와 효율적인 업무처리가 가능할 것으로 기대한다. 개인정보보호와 관련된 기술 향상과 중복 문제 등도 해결할 수 있을 것으로 보고 있다.
오상진 지금까지 행안부와 방통위는 업무 협조를 잘 해왔고 이번 업무협약을 통해 더 큰 효과를 낼 수 있을 것으로 본다. 일부에서 행안부와 방통위의 역할이 모호하기 때문에 다소 혼란이 있다고도 하는데 행안부와 방통위는 각각 명확한 역할이 나뉘어져 있고 서로 협력을 위한 체계를 마련하였기 때문에 문제의 소지는 거의 없다고 본다. 향후에도 교육, 홍보 등에서 시너지 효과를 높일 수 있는 여지가 많으며 특히 아이핀 관련 정책은 공공분야에 적극적으로 확대하는 데에는 문제가 없을 것 같다.
법 규제 준수 기업에게 혜택 필요
강신기 기업이 개인정보보호 관련 규제를 준수하고 관련 인증을 획득했다면 그 기업에게 합리적인 혜택을 주는 것이 필요하다고 생각한다. 또한 실태점검 및 수준진단 결과 우수한 기관과 기업은 연말에 포상을 하고 홍보하여 각급기관이 자율적으로 보호조치를 이행하도록 사회적 분위기를 조성해 나갈 것이다.
오상진 기업이 법 규제를 준수하고 인증을 획득하기 위해 노력한 것에 대한 혜택이 있어야 된다고 생각한다. 예를 들어 방통위의 PIMS 인증을 받은 기업이 위반 사항에 따라 과태료나 과징금 대상이 되는 경우 이를 일정 부분을 감면해주는 방법도 필요하다고 본다. 사업자 입장에서 정부 공인 인증을 받았다는 것은 정부가 요구하는 개인정보보호 수준을 갖췄다는 것인데 인증을 받지 않은 업체와는 차별을 두는 방안에 대해서 적극적으로 검토할 필요가 있다. 또 개인정보유출로 인한 손해배상 소송이 발생했을 때 법원입장에서는 그 사업자가 어느 정도의 개인정보보호 수준을 갖췄는지가 매우 중요한 사항이다. 따라서 이 경우 기업에서는 자사의 개인정보보호 수준을 높여 인증을 받고 이를 법적인 이슈에서 객관적인 증빙자료로 활용할 수 있기 때문에 사업자 입장에서 유리하다고 할 수 있겠다.
강신기 최근 전자주민증 도입문제는 관련 부서에서 추진 중인 것으로 알고 있는데 민감한 개인 정보를 수록하는 것에 대해서는 수록하는 정보의 양과 항목을 다시 점검하도록 개인정보보호 차원에서 의견을 제시한 바 있다. 다만 민간에서 주민번호를 무분별하게 수집ㆍ활용하지 못하도록 제한하는 가이드라인을 만들어서 하반기에 보급할 계획이다. 개인정보가 유출되는 사건에 대한 1차적인 책임은 개인에게 있다. 본인의 개인정보는 스스로 잘 관리해야 한다. 또 기업의 입장에서 보면 정보유출로 인해 기업 자체가 큰 피해를 입기 때문에 고객의 정보를 소중하게 관리해야 한다. 기업 윤리 차원에서 보안을 하나의 문화로 정착시켜야 되는 것이다. 행안부에서도 지속적으로 법과 제도를 정비해 나가고 개인정보보호 관련 국제적인 협력관계를 구축하면서 보안 침해 사고 발생 시 즉각 대응할 수 있도록 최선을 다 할 것이다.
오상진 아이핀의 경우 주민번호가 없어지면 아이핀을 사용할 수 밖에 없다. 문제는 주민등록번호가 광범위하게 깊이 있게 사용되고 있고 또 오랫동안 이와 같이 사용되었기 때문에 이를 갑자기 폐지한다면 많은 부작용이 따른다. 편리성을 추구하다 보면 보안이 문제고 보안을 생각하면 편리성이 떨어지기 때문에 불편한 것이다. 앞으로 방통위는 국민들의 보안 인식을 높이기 위해 많은 노력을 할 것이다.
<진행/정리 : 김태형 기자(is21@boannews.com) | 사진 : 김정완 기자(boan3@boannews.com)>
[월간 정보보호21c 통권 제120호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
