• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인터넷상 개인정보보호가 나아가야 할 길 2013.08.07

개인정보 활용과 보호가 상호 보완 되도록 사회적 협의 도출 필요


[보안뉴스=김 정 렬 방송통신위원회 기획총괄담당관] 최근 몇 년간 정보통신 서비스 및 기술의 성장은 매우 빠르게 이루어졌다. 개인정보의 가치에 대한 인식 변화와 개인정보를 활용한 신규 서비스 성장이 두드러졌으며, 이러한 경향은 앞으로 더 심화될 전망이다.


빅데이터의 경우는 구글, 페이스북 등 글로벌 ICT 기업 외에 비ICT 기업들도 자사 제품 품질향상 등에 이용되기 시작했다. 2011년만 해도 빅데이터는 하나의 추상적 개념에 불과했으나, 1~2년 사이에 기업들은 방대한 개인정보를 적극적으로 활용해 맞춤형 서비스를 내놓는 등 사업자에게 중요한 요소로 대두하고 있다.


이러한 움직임의 배경에는 변화된 인터넷 환경이 큰 요인으로 작용하고 있다. 스마트폰, 태블릿 PC 등 모바일 기기의 확산으로 24시간 온라인에 접속하고 있는 이용자가 급증하고 있기 때문이다.


우리나라 스마트폰 보급률이 60%가 넘는 요즈음, 우리는 길을 걷거나 밥을 먹을 때에도 언제나 온라인 상태에서 일상생활의 대부분을 보낸다. 이는 내 의사나 인지 여부와 관계없이 내 일상생활과 관련된 정보들이 인터넷에 거의 24시간 동안 생산됨을 뜻한다.


과거에는 PC 앞에 앉아 인터넷을 이용해야 기업들이 인터넷 상의 이용자 정보들을 수집할 수 있었지만, 스마트폰으로 맛 집을 검색하고, 길을 찾으며, 친구들과 카카오톡으로 실시간 대화를 나누는 생활패턴이 보편화되면서 이제는 이용자가 인터넷상에 남긴 작은 흔적들이 또 다른 정보원이 되고 있다. 이제는 ‘입는 컴퓨터’라고 할 수 있는 구글 글래스가 올 연말 상용화된다면, 말 그대로 이용자의 일거수일투족을 인터넷을 통해 수집할 미래가 멀지 않았다.


왜 ‘개인정보’인가?

그렇다면 도대체 왜 기업들은 ‘개인정보’를 수집·이용하려고 노력하는 것인가? 그 이유는 개인정보가 창조경제의 핵심자산으로서 그 경제적 가치가 크기 때문이다. 다양한 개인정보를 활용하는 맞춤형 서비스가 인터넷 신산업의 성장동력으로 급부상하면서 개인정보에 대한 기업의 수요가 증가하고 있는 것이다.


기업의 개인정보 분석기술은 집적된 다양한 개인정보를 결합해 이용자가 오프라인에서 보이는 행태까지 알아내는 수준으로 발전했다. 이용자의 검색기록과 쇼핑몰 구매이력, 나이, 성별, 취미, 지역 등 다양한 정보를 결합·분석하면, 그 이용자의 필요에 부합하는 개인 맞춤형 광고를 보여줄 수 있고 이를 통해 구매로 연결되는 등 광고효과를 극대화할 수 있게 된 것이다. 이용자도 모르는 자신의 숨은 욕구를 찾아내어 구매로 연결시키는 맞춤형 광고는 조각난 정보들을 결합하고 분석하는 기술 때 문에 가능한 것이다.


그런데 이렇기 때문에 창조경제 시대의 개인정보는 그 경제적 가치를 노린 해킹 등 각종 개인정보 침해사고의 대상이 되어 언제든지 유출되거나 악용될 위험에 놓여 있는 것이 현실이다. 즉, 개인정보를 활용해 새로운 성장동력으로 삼을 수도 있지만, 개인정보가 침해되면 국민의 안전한 생활이 불가능할 정도로 정신적·경제적 피해가 발생할 수도 있다.


자신도 모르는 사이에 거액의 대출 등 금융거래나 결제가 이루어지거나, 자신과 전혀 관련 없는 사람이 인터넷상에서 자신의 이름으로 활동하고 있는 경우도 있을 수 있다. 자신의 사생활이 자신도 모르는 사이에 공개되고 추적되는 아찔한 상황이 벌어질지도 모른다. 그리고 그 피해는 경우에 따라서 개인의 삶을 파괴할 정도로 심각할 수도 있다.


이와 같이 이용자 개인정보가 침해·악용되는 것은 당연히 막아야 한다. 하지만 과도한 개인정보 규제는 창조경제 성장의 걸림돌이 되고, 개인정보의 무분별한 활용은 창조경제 성장 기반의 안정성을 저해하게 된다. 결국 개인정보의 안전한 활용이 가능한 환경을 조성하는 것이 창조경제 활성화의 전제조건이다.


개인정보를 둘러싼 변화들

개인정보의 범위 확대

정보통신망법과 개인정보보호법은 보호대상이 되는 ‘개인정보’의 요건을 ‘생존하는 개인에 관한 정보로서, 특정 개인을 식별하거나 식별할 수 있는 모든 정보’로 규정하고 있다. 그런데 인터넷 이용 환경의 변화로 개인정보에 포함되는 정보의 범위가 과거에 비해 넓어지고 있다.


과거에는 이름이나 주민등록번호 등 신상정보 위주의 정형적 정보가 개인정보로 파악됐지만, 파편화된 정보들을 결합·분석하는 기술이 발달하면서 이제는 위치정보, 바이오정보 및 각종 행태정보와 같은 비정형적 정보들을 결합해 개인 맞춤형 서비스나 광고를 제공하는 경우가 늘어나고 있다.


따라서 과거에는 개인정보의 범위에 들어가지 않았던 정보들도 다른 정보들과 결합하여 개인 식별이 가능할 경우 개인정보로 포함될 가능성이 높아졌다. 개인정보 결합·분석 기술이 정교해질수록 개인과 관련된 정보이면 개인정보가 될 가능성이 매우 커진 것이다.


온라인 중심의 개인정보 유통 및 개인정보 유출사고의 대형화

개인정보가 유통되는 주무대가 오프라인에서 온라인으로 바뀌었다. 클라우드 컴퓨팅, 하드웨어 비용하락 등 기업이 저비용으로 대량의 개인정보를 이용할 수 있는 환경이 조성된 것이 한 요인이다. 또한 SNS, 온라인 커뮤니티, 블로그 등의 확산으로 온라인에 공개되는 개인정보의 종류와 양이 급증하발적으로 공개하는 것이 일상이 되었기 때문이다.


글로벌 ICT 기업들은 이러한 온라인상의 다양한 개인정보를 분석하여 맞춤형 서비스나 광고를 제공하는 것을 주요 수익 모델로 삼고 있다. 구글의 경우, 2012년 구글 매출의 95%가 광고 수익이다.


온라인 개인정보침해 신고·상담 비율을 통해서도 온라인 중심으로 개인정보가 유통되고 있음을 알수 있다. 전체 개인정보 침해 신고·상담 중 온라인 침해가 차지하는 비율은 2012년 10월 현재 92.1%에 달하고 있다(한국인터넷진흥원 개인정보침해신고센터). 게다가 모바일 기기가 확산되면서 스마트폰에 개인정보가 집중됨에 따라 스마트폰 앱 등 모바일에서의 개인정보 누출사고도 지속적으로 발생하고 있다.


그러나 온라인에 대량으로 집적된 개인정보가 제대로 관리되지 않아 적게는 몇십만명에서 많게는 몇천만명까지 이용자 개인정보가 해킹되거나 과실로 유출되는 경우가 끊이지 않고 있는 것이 현실이다.


최근 5년간 보도된 대형 개인정보 누출사고 17건 중 14건이 해킹 등으로 인터넷상에서 누출된 것인데, 이는 온라인이 오프라인보다 훨씬 대량으로 개인정보가 유출되기 쉽기 때문이다. 옥션(1,863만명), 넥슨(1,320만명). SK컴즈(3,500만명), KT(870만명) 등은 온라인상에서 유출된 대표적인 사고라고 할 수 있다.


우리나라의 정책 방향은?

인터넷상 주민번호 사용 제한

공공부문 개인 식별을 위해 1968년부터 사용된 주민등록번호는 민간부문에서도 지난 수십년간 간편한 개인식별 수단으로 사용되어 왔다. 그러나 이러한 개인정보를 안전하게 관리해야 한다는 인식이 형성되지 않은 상태에서 인터넷이 보편화되자, 주민등록번호는 해킹 또는 관리자 부주의로 쉽게 유출됐고, 외국 포털 사이트에서 우리나라 국민들의 주민등록번호가 거래되어 명의도용 등 각종 범죄에 악용되는 등 문제가 끊이질 않고 있다.


이러한 문제의 배경에는 우리나라 인터넷 사이트들이 회원식별을 위해 주민등록번호를 수집·이용하는 관행이 있다. 우리나라 웹사이트에 회원가입하고 서비스를 이용하기 위해서는 서비스 이용에 필수적인 요소가 아님에도 주민등록번호를 반드시 입력하도록 한 경우가 많았기 때문이다.


이에 현재 방통위는 이미 유출된 주민등록번호의 효용을 낮추고 주민등록번호 해킹의 유인을 없애기 위해 인터넷상 주민등록번호 수집·이용 제한 정책을 추진했다. 2012년 8월 18일 시행된 개정 정보통신망법 제23조의2는 일부 법률에서 허용하는 경우 외에는 인터넷에서 주민등록번호 수집·이용을 금지하고 있고, 본인인증이 반드시 필요한 경우에는 아이핀, 휴대폰, 범용 공인인증서 등 주민등록번호 이외의 본인인증수단을 인터넷 사이트들이 도입하도록 하였으며, 이에 대한 준수여부를 점검하기 위해 웹사이트를 대상으로 실태조사를 실시하고 있다.


또한, 인터넷 주민번호 클린센터를 구축·운영하여 주민번호 대체수단 적용 지원 등 제도적·기술적으로 사업자를 지원하고 있다. 현재 13,000개 영세사업자의 주민번호 수집창 삭제에 대한 지원을 준비하고 있으며, 2014년까지 ‘주민번호 없는 클린 인터넷 환경 조성’을 목표로 정책을 추진 중이다.


방치되는 개인정보의 유출을 막기 위한 신규제도

개정 정보통신망법은 앞서 주민등록번호 수집·이용 제한 뿐 아니라, 다양한 신규제도들을 도입했다. 특히, 인터넷상에서 자신이 어디에 개인정보를 제공했는지 이용자가 일일이 기억하기 어려워 개인정보가 방치되어 개인정보 침해가능성이 증가하는 것을 막기 위한 제도로, 개인정보 유효기간제도(정보통신망법 제29조)와 이용내역 통지제도(동법 제30조의2)를 들 수 있다.


개인정보 유효기간제도는 3년 이상 서비스를 사용하지 않은 이용자의 개인정보를 파기 또는 분리 보관하도록 하여, 사업자의 불필요한 개인정보 운영을 최소화하는 것을 목적으로 하고 있다. 사업자는 유효기간 도래 30일 전까지 해당 이용자에게 개인정보 파기 또는 분리하여 저장·관리되는 사실, 일시 및 해당 개인정보의 항목을 통지하여 이용자가 그 서비스를 다시 이용하거나 아니면 탈퇴하는 등 필요한 조치를 취할 기회를 제공해야 한다.


이용내역 통지제도는 사업자로 하여금 연1회 이상 해당 서비스 이용자의 개인정보 이용내역을 통지하도록 함으로써, 이용자의 개인정보 자기결정권을 강화하고자 하는 제도이다. 이 제도는 그 적용대상을 모든 정보통신서비스제공자가 아니라, 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 경우에 해당되는 사업자로 제한하고 있다.


사용자는 ① 개인정보 수집·이용 목적 및 수집항목, ② 개인정보를 제공받은 자, 목적 및 제공 항목, ③ 취급위탁 받은 자 및 그 목적에 대해 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 하나로 이용자에게 통지해야 한다.


이러한 신규제도 시행으로, 인터넷 서비스 사업자가 불필요한 개인정보 보관을 최소화하여 개인정보유출 가능성을 낮추고, 유출로 인한 2·3차 피해를 막을 수 있을 것으로 기대되고 있다.


대형화된 개인정보 누출사고 예방 및 대응

해킹 등 인터넷을 통한 개인정보 누출사고가 대형화되고 그로 인한 추가 피해가 우려됨에 따라, 개정정보통신망법은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 사전에 차단하기 위해 내부 업무망과 외부 인터넷망을 분리하는 내·외부망 분리의무(동법 제28조)를 도입했다.


따라서, 100만명 이상의 개인정보를 보유하거나 매출액 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등을 망분리 해야 한다.


그리고 기업의 개인정보 대량 누출 등 침해사고 방지를 위해 보호조치 의무 위반 사업자에 대한 처벌 규정 및 조사 체계를 강화할 계획이다. 단순 보호조치 위반에 대한 3천만원 이하의 과태료를 과징금으로 강화하는 방안을 고려하고 있다. 또한, 경찰청·미래부·안행부·금융위 등 유관기관과의 원활한 업무협조를 위하여 개인정보 누출사고 발생 시 신속한 초기 대응 체계를 구축하여 운영할 계획이다.


생활 속 개인정보보호 문화 정착

이러한 개인정보보호 정책이 효과를 거두기 위해서는 개인정보보호에 대한 사회적 공감대가 함께 형성되어야 한다. 이를 위해, 대국민 개인정보보호 인식제고 교육 및 홍보 정책을 꾸준히 추진하고 있다.


특히, 정보통신망법 법규위반 사업자 등을 대상으로 전문교육을 실시하고 있다. 이는 의무사항은 아니나, 정보통신서비스제공자들의 개인정보관련 위반행위들이 관련 법령에 대한 이해가 부족했기 때문에 발생하고 있는 측면을 고려하면 이러한 전문교육은 더욱 확대 실시되어야 할 것이다.


또한, 사업자의 의문사항을 해소하고 관련 법령 준수를 유도하기 위한 워크샵과 같은 자리를 마련하여 사업자의 고충을 해소할 계획이다. 이 외에도 이용자 대상의 오프라인 교육 뿐 아니라 인터넷 상 자기 개인정보를 보호하는 실천방안에 대한 캠페인도 매년 시행하여, 개인정보보호의 중요성 뿐 아니라 그 실천방안에 대한 이용자의 인식제고를 위해 노력하고 있다.


개인정보는 인터넷 신산업 성장의 핵심자산으로서 그 경제적 가치와 활용도는 나날이 증가하고 있다. 그러나 개인정보는 단순한 자산이 아니라 한 개인에 대한 정보로서 그 개인의 개인정보 자기결정권의 대상이기도 하다.


개인정보를 활용하여 새로운 서비스를 개발하여 수익을 창출하려고 하는 기업과 개인정보보호 사이에는 이해관계가 충돌하는 지점들이 있다. 이용자 또한, 새로운 서비스를 누릴 수도 있지만, 그 대가로 자신의 개인정보가 침해될 위험에 처할 수도 있는 것이다.


따라서 창조경제의 시대에는 개인정보 활용과 보호를 양자택일이 아니라 그 두 가지를 상호 보완할 수 있도록 사회적 협의를 도출하는 과정이 반드시 필요하다. 이를 위해 개인정보를 보호하되 빅데이터 등 신규 서비스를 활성화하기 위해서는, 전문가와 기업들의 의견을 수렴하여 개인정보 범위, 법·기술 적용 등에서의 불확실성을 해소하려는 노력이 지속적으로 이루어져야 할 것이다.

[글 _ 김 정 렬 방송통신위원회 기획총괄담당관(jrkim@kcc.go.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>