‘개인정보보호법‘, 굳이 분리해서 하나하나의 의미를 풀어보지 않아도 상당히 포괄적으로  적용되는 법으로 다가온다. 아마도 IT관련 법규 중에 이처럼 폭넓게 적용되는 법은 처음이 아닌가 여겨진다. 그런 만큼 이 법이 발효되는 금년 9월말 이후의 사회적 변화양상에 정부·공공기관·기업·보안산업 그리고 개개인에 이르기까지 모두가 관심이 드높다.

어떤 법이 사회적으로 제정되기 위해선 그것의 필요를 느끼는 수많은 다수의 공감을 필요로 한다. 그간 개인정보보호와 관련해서는 그 적용범위를 공공기관과 일부 사업체에 한정했다. 그리고 이전에는 개인정보유출 사태가 일어나더라도 그 책임 소재를 묻는데 불분명했고 잠재적 악영향에 대해서도 거론하지 않는 분위기였다. 하지만 이는 우리가 당장 체감하지 못하는 문제일 뿐 거기서 끝날 문제가 아님을 알고 있다.

지금 현재에도 과거 어느 때, 어느 곳에서 유출된 자신의 정보가 어디에서 유용되고 있는 지 알 길이 없는 경우가 허다하다. 단지 아는 것이라곤 자신의 정보가 누군가에 의해서 어디론가 빠져나갔다는 사실뿐이다. 하지만 많은 기업과 단체들은 경쟁적으로 개인정보를 등록하도록 유도했으며 또한 과도하게 개인(고객)정보를 수집했다.

회원(정보) 숫자가 곧 그 기업의 가치를 가늠하는 시각도 있었으며 현재 온라인 기업의 경우 더욱 그러하다. 문제는 이들 기업이 개인정보 수집에만 관심이 있고 정보보호는 뒷전이었다는 데 있다. 쌓아 놓기만 하고 선량하게 지키고자하는 의지가 안 보인다.

개인정보보호법 필요성 절실

이름만 대면 누구나 알 법한 굴지의 기업들이 그간 개인정보유출의 장본인들이 되었던 사례가 허다하다. 대기업이건 다국적기업이건 유력한 온라인기업이건 모두가 예외가 아닐 지경이다. 온라인이든 오프라인으로든 정보를 제공하는 개인(회원)들은 그 기업에 대한 신뢰가 깔려있다. 자신의 정보가 본래의 목적에 맞게 잘 관리되고 보호되기를 믿기에 제공할 수 있는 것이다.

정보유출 해당기업들은 이 ’신의·성실‘의 의무를 져버린 기업들이라 말할 수 있다. 또한 그 의무를 져버릴 개연성이 다분한 기업들도 널려있다. 개인정보유출로 드러나진 않았지만 아직도 정보보호 조치를 하고 있지 않은 수많은 기업들이 그에 해당한다.

이들은 정보보호에 대해서 ‘설마하는 심정’으로 ‘나’는 당하지 않을 것이라는 막연한 기대심리를 갖고 있는 기업들이라 할 수 있다. 그래서인지 정보보호를 위한 예산배정에도 투자에도 인색하다. 정보보호에 대한 최고경영자의 인식도 낮으며 그에 따라 조직내 인식도 저만치 아래다.

이런 취약한 정보보호 상황 앞에 현실은 냉엄하다. 여러 목적을 위해 개인정보를 노리는 세력들이 속출하고 있다. 그 조직 밖의 불순한 해커는 물론이고 조직 내의 직원이나 정보관리 실상을 잘 아는 퇴직자들 혹은 협력업체 직원들까지도 가세하고 있다. 허술하고 취약한 개인정보보호 현실은 목적달성을 위해 먹잇감을 노리듯 덤벼드는 세력 앞에 번번히 무너지고 있다. 그 결과 어디론가 빠져나간 개인정보로 인해 전 사회적 위험이 잠재되고 있다.

예상되는 폐해가 너무나 크고 광범위한 것이어서 사회적 자율에 맡기기엔 한계가 있다는 것을 공감한다. 개인정보보호가 법 차원으로 발효가 되는 이유가 거기에 있을 것이다. 

원천적 정보보호체제 정착해야

이번 개인정보보호법의 발효로 저촉되는 기업이나 단체의 범위가 350만여개로 현행법보다 7배 이상 대폭 넓어지게 된다고 한다. 적용기관이 헌법기관·의료기관·협회 그리고 동창회 등과 같은 비영리단체에까지 확대되기에 더욱 그러하다. 적용문서도 전자문서(화일)는 물론 수기로 작성된 문서도 보호범위에 포함된다. 개인정보 유출시 단체소송이 가능해 진다는 점과 통지·신고제도·집단소송제도·집단분쟁조정제도 등이 도입된다는 점도 추가된다.

이 법과 관련하여 추가되는 주요 내용만 보아도 기업의 입장에서는 더 이상 개인정보의 유출책임을 웬만해선 면하기 어려워 보인다. 물론 법 제정이후 시행령과 시행규칙이 완료되어야 완전한 모습을 갖추겠지만 개인정보의 보호범주와 적용대상, 유출시 처벌기준 등이 구체화되고 집단소송제도와 집단분쟁조정제도, 단체소송제도의 법 근거를 마련하여 개별 피해자들이 손쉽게 법적 구제를 받을 수 있는 길을 열어 주는 내용이 포함되어 있어 더욱 그러하다.

특히 분쟁조정위원회의 분쟁조정이 실패할 경우 추가로 단체소송을 통해 피해구제를 받을 수 있도록 하여 기업은 더 이상 개인정보유출의 책임을 면하기가 어려워졌다고 볼 수 있다. 이에 개별기업은 여태까지와는 다르게 보다 근본적이고 적극적으로 대비할 필요가 있다.

가장 우선적이며 근본적인 대비책은 개인정보유출이 발생되지 않도록 원천적 정보보호체제를 정착시켜야 한다. 즉 개인정보보호에 대한 인식 제고와 그에 따른 투자와 실행이 선행되어 정책적·기술적 개인정보보호체제를 갖추어야 한다.

우선 정책적으로 이용자의 개인정보보호를 위해 ‘내부관리계획의 수립 및 시행’과 ‘개인정보관리책임자의 의무와 책임을 명시’하여야 한다. 내부관리계획에는 1)계획의 수립 및 시행에 관한, 2)개인정보관리책임자의 의무와 책임에 관한 사항, 3)개인정보 처리단계별 기술적·관리적 보호조치에 관한 사항, 4)정기적 자체감사에 관한 사항, 5)개인정보 취급자에 대한 교육등 그 밖에 개인정보보호를 위해 필요한 사항 등이 포함되어야 한다.

두 번째, 기술적,관리적으로 이용자의 개인정보보호를 위해서는 1)물리적 접근제한, 2)정기적 자체감사 실시, 3)출력 복사시 보호조치, 4)개인정보처리시스템에 대한 접근권한, 인증 및 계정관리, 5)개인정보의 암호화, 6)네트워크,DB 접근통제, 7)시스템 접속기록의 위,변조 방지, 8)보안프로그램의 설치 및 운영 등이 조치되어야 한다. 이 중에서 1),4),5),6),7),8) 항 등이 좀 더 기술적인 대비사항으로서 정보보안전문 기업들의 협조를 필요로 하는 분야이다.

또한 기술적 조치만으로 100% 개인정보보호를 할 수 없는 만큼, 정보유출 발생시 손해배상 책임과 관련하여 배상책임보험 등의 가입을 통해 기업 스스로의 위험관리 및 고객의 피해구제에 대한 준비도 필요하다.

보안업체들도 준비 필요

개인정보보호법과 관련하여 보안업체들도 많은 준비가 필요하다. 보안업체들의 기존 고객층이 공공과 대규모 기업을 대상으로 하는 보안 솔루션의 제공이 주를 이루었다면 이제는 개인과 개인정보보호관련 솔루션 개발에도 더욱 박차를 가해야 한다.

새로이 적용되는 기업이나 단체의 수가 대폭 증가되는 만큼 시장의 규모가 늘어나는 것에 막연한 기대만을 갖는 것은 금물이다. 시장이 확대되는 만큼 고객도 현명해지기 때문이다. 제품이나 서비스 향상에 대한 차별화된 노력 없이 시장에 접근한다면 그르칠 수 있다. 법적제제를 피하기 위해 싫어도 고객은 도입할 수밖에 없다고 여기는 안일한 마케팅적 접근으로는 고객을 움직이지 못한다. 진정성 있는 솔루션 제공자이자 조력자(Helper in Security)의 자세로서 다가가야 고객이 움직일 것이다.

자칫하다간 국내 법의 적용에 따른 시장기회를 외산제품에 내어주는 상황을 초래할 수 있다. 그간 우리 보안업체는 ‘소 잃은 다음 고치는 외양간’형 수요에 의존하며 국내시장을 지켜왔다고 해도 과언이 아니다. 게다가 그 ‘소 잃은‘ 대상들은 보안이 필요한 전체에 비하면 그리 많은 부분을 차지하는 것도 아니었다. 그만큼 작은 시장에서 치열하게 생존과 발전 사이를 전전하고 있다.

개인정보보호법상의 기술적 조치의무 항목들을 얼핏 살펴보면 법안시행에 따라 전례 없는 ‘특수’가 펼쳐지리라 여겨질 수도 있다. 그러나 그것보다는 국내 보안산업의 지속가능한 성장을 위한 발판이 만들어진다고 생각해야 한다. 그래서 보안산업이 진정 내실 있는 산업으로 도약할 수 있도록 해야 할 것이다.       

정보보호 인식제고와 실천 노력해야

분명 인터넷의 출현은 정보의 대량유통을 낳았으며 정보의 디지털화가 촉진되었고 풍부하고 유용한 정보 콘텐츠의 양산을 가져왔다. 우리는 이 인터넷의 유용함을 기대이상으로 누리고 있다. 그러나 ‘디지털 시대의 그늘‘이라 할 수 있는 보안 문제는 디지털기술의 빠른 진보가 낳은 또 다른 단면이다.

하지만 위험이 커진다고 정보공유의 대세를 막을 수는 없다. 사회 전반적으로 개인정보관리가 취약한 상황에 대해 우리 개인들은 불안하다. 또한  미덥잖다. 심지어 과거에 무심코 제공했던 자신의 정보를 아주 깨끗이 거두어들이고 싶은 심정이 앞선다. 정보사회에서 필요한 정보를 향유하기 위해 거쳐야 하는 필수적인 단계가 본인 인증이라는 것도 알고 있다.

이에 비해 개인정보를 제대로 관리할 의무가 있는 기업이나 단체는 계속되는 정보유출 사태로 개인들을 불안하게 만들고 있다. 또한 정보 취약점을 파고드는 어두운 세력들에겐 속수무책으로 당하고 있다.

어떤 조치를 취하지 않는 한 이런 상황은 바뀌지 않을 것이다. 우리 모두가 예외 없이 정보보호에 대한 인식제고와 그에 따른 정책적·기술적 대책을 세우고 실행하지 않으면 안 된다.

우리는 우리 자신들의 개인정보 제공이 사회적으로 ‘필요惡’이 아니라 ‘필요善’으로 되돌아오길 원한다. 이런 희망이 개인정보보호법을 새롭게 태어나게 하지 않았을까.

[글 _ 이기영 지식정보보안산업협회 상근부회장(kyrhee@kisia.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>