| 개인정보유출 제2·3의 피해 막기 위해선 ‘개인정보보호법’ 절실 | 2011.01.27 | ||
연이은 개인정보유출사고 오히려 국민에게 안일한 보안의식만 양산
지난해 12월, 국내 최대 규모인 2,900만건의 개인정보 침해사건이 발생해 국민 5명 중 3명꼴로 개인정보가 유출된 것이 확인된 상황에서 전문가들은 이 정도 개인정보가 유출된 상황이라면 누구라도 자신의 개인정보가 안전하다고 보장할 수 없는 상황이라는 말을 들려주고 있다. 특히 이렇게 유출된 개인정보는 돈을 벌기 위한 목적으로 이용돼 제2·3의 피해로 이어지고 있지만 현재 개인정보보호 정책은 유출을 막는 것에만 주력하고 있을 뿐 이에 대한 대응방안이 되지 못하고 있는 상황이다. 이에 전문가들은 지금까지 개인정보 유출피해가 확산됐던 것은 피해사실이 명확히 파악되지 않았기 때문이기도 하지만 그에 대한 근본적인 문제는 개인정보보호 컴플라이언스가 제대로 정립되지 않은 때문이라고 지적한다. ◇ ‘개인정보보호법’, 개인정보유출 제2·3의 피해 막을 수 있는 최적의 대안 그런 점에서 주목해야 하는 법안이 있다. 바로 현재 국회에 계류 중인 ‘개인정보보호법’이 그것이다. 지난 2004년부터 일반법으로써 논의돼 오다 지난 12월 7일 법제사법위원회에 상정 및 소위에 회부돼 오는 2월 임시국회를 통해 법제정을 앞두고 있는 개인정보보호법안이 그 해결책이 될 수 있기 때문이다. 기존 정보통신망법 등의 컴플라이언스들이 개인정보가 유출되지 않도록 주력하고 있다는 점에서 개인정보보호법은 대다수 국민의 개인정보가 유출된 현 상황에서 제2, 3의 피해를 완벽하게 막을 수는 없겠지만 그에 대한 어느 정도의 해결방안으로는 작용할 것이기 때문이다. 현재 정부안으로 국회에 계류 중인 개인정보보호법에서 ‘개인정보 유출사실의 통지·신고제도 도입’을 명시하고 있는 제34조가 바로 그것이다. 그 내용은 다음과 같다.
제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체없이 행정안전부장관 또는 대통령령이 정하는 전문기관에 신고하여야 한다. 이 경우 행정안전부장관 또는 대통령령이 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. ④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
이 조항은 개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지하고, 일정 규모 이상의 개인정보가 유출된 때에는 전문기관에 신고하도록 하는 한편 피해의 최소화를 위해 필요한 조치를 하도록 하고 있다. 즉 개인정보유출로 인한 피해의 확산 방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구제 등에 기여할 수 있을 것으로 기대된다. 전문가들은 지금까지 개인정보유출 피해확산을 방치했던 이유에 대해, 피해사실이 명확히 파악되지 않았기 때문이라고 말한다. 고객정보가 유출된 인터넷사이트(기업)들은 고객의 개인정보를 이용해 광고마케팅 등을 활용해 매출을 챙겼음에도 정작 고객정보가 유출된 사실은 시장에서 바라보는 좋지 못한 시선 때문에, 특히 유출 사실을 밝힐 어떠한 컴플라이언스가 없기 때문에 쉬쉬했을 뿐이다. 그것이 피해사실을 명확히 파악하지 못하게 했다. ◇ 연이은 개인정보유출사고 오히려 국민에게 안일한 보안의식만 양산 2,900만건의 개인정보 유출사건이 이슈가 됐지만 그중 자신의 개인정보가 유출된 것에 대해 제기한 사람은 과연 몇 명이나 될까? 유출된 고객, 국민에게는 자신의 개인정보가 유출됐음에도 그러려니 하는 안일한 보안의식을 심어주는 결과를 초래했다. 대다수의 국민은 개인정보의 중요성 및 그 가치를 인지하고 있지 못한 것이다. 우리나라 보다 앞서 지난 2005년도에 개인정보보호법을 시행한 일본을 보자. 일본네트워크시큐리티협회(JNSA)가 일본의 누출사건을 조사한 결과를 보면, 2002년 63건, 2003년 57건, 2004년 366건이었던 누출사건은 개인정보보호법이 시행된 2005년에는 1,032건, 이후에는 993건(2006), 864건(2007), 1,373건(2008)으로 늘었다. 개인정보 유출에 따른 통지제도로 법시행 전 감춰져 있던 누출사건들이 법시행 이후 수면 위로 부상한 것이다. 또한 JNSA 자료에 따르면 2009년도 개인정보누출 사건은 1,539건이 발생해 상정 피해배상 총액만 3,894억1,144만엔, 1건당 누출 인원수는 3,934명, 1명당 평균상정 피해배상액은 4만9,961엔에 이른다. 또한 일본은 개인정보보호법 시행으로 정보보안 보험 시장에도 영향을 미쳐 2006년 이후 70억엔 이상의 시장을 형성하고 있기도 하다. 그에 반해 우리나라 국민이 생각하고 있는 자신의 개인정보 가치는 얼마나 될까? ◇ 더 이상 미룰 수 없는 문제, ‘개인정보보호법’ 제정 이와 관련 한 보안전문가는 “개인정보 1,000만건은 대략 1억의 이익을 챙길 수 있는데, 구매자는 한 건당 10원에 구입한 개인정보를 100원 아니 그 이상의 이익을 챙길 수 있기에 이를 구입하는 것”이라고 말하고 “과연 그 개인정보의 주체당사자는 자신의 개인정보 가치를 어느 정도로 생각하고 있을까? 현행 개인정보보호 대응체계에서 중요한 건 이런 개인정보의 가치를 국민 스스로가 알 수 있도록 하는 척도를 제시해 줌으로써 개인정보의 중요성을 인지할 수 있게 하는 것”이라고 말했다. 또한 그는 “그런 만큼 개인정보보호법 제정은 더 이상 미룰 수 없는 문제”라고 말하고 “개인정보 유출로 인한 피해 확산을 막기 위한 최적의 대안이 될 개인정보보호법이 오는 2월 임시국회에서는 반드시 통과돼 빠른 시일 시행되길 바란다”고 밝혔다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
