\r\n
.jpg)
\r\n
카드사 개인정보 유출사건 이후 정책 방향
\r\n
\r\n
개인정보보호법 3년차, 그 성과를 보다
\r\n
2011년 9월 개인정보보호법이 시행된 지 올해로 3년째가 되었다. 그동안 우리 사회는 많은 변화를 경험했다. 개인정보보호법 시행 이전 법의 테두리에서 멀어져 있던 헌법기관, 학회 등 비영리기관을 비롯해, 약 350만 모든 개인정보처리자(사업자)들이 법 적용대상에 포함되면서 보호의 사각지대가 사라졌다. 또한 개인정보영향평가, 개인정보 안전성 확보조치, 개인정보 열람·삭제·정정 요구권 보장 등 선진화된 보호 기준이 도입되면서 개인정보 처리를 위해 지켜야 할 기준도 많이 엄격해졌다.
\r\n
\r\n
그래서인지 법 시행 초기에는 제도에 대한 이해가 부족한 상황에서 혼란스러워하는 불만의 목소리가 많았으며, 제도 도입과 함께 개인정보처리자가 갖추어야 할 시설과 인력, 시스템 등의 비용도 만만치 많아 제대로 조치하지 못하는 사례도 나타났다. 이의 해소를 위해 안전행정부에서는 지난 3년간 개인정보보호 기반을 구축하고 다양한 정책들을 마련하여 시행함으로써 개인정보보호제도가 조기 정착할 수 있도록 하고 있다.
\r\n
\r\n
첫째, 개인정보보호법이 사회 전 분야 곳곳에 뿌리를 내려 정착할 수 있도록 개인정보보호 기본계획 수립, 금융·노동·교육·의료 등 주요 분야별 개인정보보호 가이드라인과 개인정보보호 수칙(7종)을 마련·배포하고, 개인정보보호 종합지원 포털(www.privacy.go.kr)을 통해 누구든지 개인정보보호에 필요한 각종 교육자료, 동영상 등을 활용할 수 있도록 적극 지원하고 있다. 또한 제도에 대한 이해가 충분하지 않은 중소기업이나 소상공인, 개인사업자 등을 대상으로 맞춤형 컨설팅과 교육을 실시하고 있다.
\r\n
\r\n
둘째, 개인정보보호법에서 정한 각종 보호조치에 어려움을 느끼는 영세사업자나 소상공인을 대상으로 기술적 지원 및 컨설팅을 실시했다. 개인정보보호 기술지원센터를 설치·운영해 PC 백신 무상보급, 보안솔루션 도입비용 지원, 취약점 무료 점검 및 조치 지원 등 지속적인 지원을 했다.
\r\n
\r\n
셋째, 민간과의 협업을 통해 국민들도 자기정보의 주체로서 스스로 개인정보를 보호하는 인식이 확립될 수 있도록 다양한 홍보활동도 병행했다. 40여개 민간단체와 함께 개인정보보호 범국민운동본부를 발족해 개인정보보호 캠페인을 실시하고, 아울러 전국 74개소에 지역거점지원센터를 구축해 각종 교육·홍보활동을 활발히 전개했다.
\r\n
\r\n
개인정보보호의 현실적 괴리 : 높은 인식과 낮은 이행
\r\n
최근 카드 3사에서 대규모 개인정보 유출사고가 발생했고, 그 여파가 채 가라앉기도 전에 또다시 통신사, 소셜커머스 업체 등에서 유출사고가 추가로 밝혀지고 있다. 개인정보가 유출되는 사고들이 최근 빈발하면서 국민들 사이에 불안감이 확산됐고, 기업의 책임성을 대폭 강화해야 한다는 목소리들이 높아져 있다. 또한 국민들 스스로 소중한 자기정보에 대한 권리의식을 갖게 되면서 개인정보 자기 결정권을 제대로 행사하도록 유도하는 계기가 되었다. 과거에는 관행적으로 자기 정보를 적어서 제출했다면 이제는 왜 개인정보를 요구하는지 다시 생각해보는 사회적 분위기가 형성된 것이다. 실제로 카드 3사 개인정보 유출사고 이후 국민신문고 등을 통해 사업자가 개인정보를 수집하는 것이 정당한 것인지 또는 안전하게 관리되도록 조치하고 있는지 묻는 국민들의 질문이 쏟아지고 있다.
\r\n
\r\n
2013년 개인정보보호 실태조사에 따르면 개인정보보호법 시행 이후 개인정보보호 중요성에 대한 인식이 확산되는 등 기본적인 보호 기반은 마련된 것으로 보인다. 민간 사업자의 법 인지도는 법 시행 초기인 2012년 3월 33.4%에서 2013년 7월 91.2%로 상승하는 등 사회 전반의 개인정보보호에 대한 인식 수준이 눈에 띄게 향상됐다. 또한 법 인지도 제고로 인해 개인정보 침해 상담 및 신고 건수도 지속적으로 증가하는 추세다.
\r\n
\r\n
그러나 개인정보를 보유하고 있는 각 사업장 또는 기관에서는 아직도 기본적인 조치사항을 다하지 못하는 등 개인정보 침해·유출사고의 가능성이 높은 상황이다. 안전행정부는 2011년 9월 개인정보보호법 시행 이후 2014년 4월까지 총 1,024개소를 점검하였고 905개소(위반율 88.4%)에 대해 과태료 174건, 시정조치 520건 등 총 1,483건의 행정처분을 실시했다. 실태점검을 통해 나타난 주요 위반사항으로 첫째, 안전성 확보 조치와 관련하여 내부관리계획 미수립, 접근 권한 및 접속 기록 미관리 등 대부분의 기술적 보호조치가 여전히 미흡했다. 둘째, 위탁 후 수탁자에 대한 관리·감독 미실시, 수탁자명단 공개 미이행 등 위탁관리 분야에서 다수 위반사례가 발생했다. 셋째, 개인정보 수집·이용 동의시 필수 고지항목을 누락하거나 과도한 개인정보 수집 등도 빈번하게 나타났다.
\r\n
\r\n
주요 위반사항들은 많은 인력과 예산이 필요한 부분도 있지만 내부관리계획 수립이나 수탁업체 관리·감독 실시 등 조금만 관심을 가졌다면 지킬 수 있었던 부분도 상당히 존재한다. 실제 카드 3사 개인정보 유출 사고 원인은 해당 카드사들이 외부 파견직원에 대한 관리·감독을 소홀히 해 고객정보 약 8,500만 건이 유출된 인재(人災)였다. 높아진 국민들의 법인식과 달리 기업이나 기관들은 개인정보보호를 일부 전산부서나 담당직원의 일인 양 소홀히 다루고, 개인정보보호를 위한 조치를 비용으로 인식하고 있다는 것이다.
\r\n
\r\n
개인정보보호에 대한 높은 인식과 낮은 이행이라는 괴리는 그간 개인정보보호의 중요성은 알고 있지만 실제로 유출된 경우 그에 상응하는 제재 수준이 미비했다는 점이 가장 큰 원인이다. 미국에서는 모 카드회사가 4,000만 건의 개인정보 유출 사고 이후 주요 고객을 잃고 매각되었다가 2008년 최종적으로 퇴출된 바 있다. 그러나 카드 3사의 경우 3개월 일부 영업정지와 과태료 600만원이 부과되었을 뿐이다. 또한 카드사는 개인정보 유출로 인해 2차 피해가 발생한 경우에만 전액 보상하겠다고 약속했을 뿐 실제로 금전적 피해가 발생하지 않는다면 보상받기 어려운 현실이다.
\r\n
\r\n
낮은 이행 수준의 또 다른 중요한 원인 중 하나는 개인정보보호 관련 법 적용상 혼란이 있다는 점이다. 현재 개인정보보호 관련 법 체계는 일반법인 개인정보보호법과 정보통신망법, 신용정보법 등 각 개별법이 병립하는 구조로 되어 있다. 각 개별법에서 개인정보보호법의 기본 원칙과 달리 규정하는 경우 해당 개별법이 우선 적용되고 있어 다양한 법률이 업종별로 달리 적용되는 것이다. 그로 인해 개인정보보호를 위해 어느 법률을 지켜야 할지 실제 현장에서는 혼란스럽다는 불만과 중복 규제 문제 등이 제기되곤 하였다. 예를 들어 개인정보가 유출된 경우 정보통신사업자는 정보통신망법에 따라 과징금이 부과될 수 있지만, 금융회사는 과징금이 부과되지 않는다. 온·오프라인을 병행하여 사업을 하는 대형마트의 경우 오프라인 매장에서의 회원관리는 개인정보보호법, 홈페이지를 통한 회원관리는 정보통신망법을 적용받는다.
\r\n
\r\n
이제는 개인정보보호가 기업의 생존과 관련된 중요한 투자임을 인식하도록 하여 최고경영자를 비롯한 전 직원이 노력하도록 유도할 필요가 있다. 그리고 수범자들이 준수해야 할 사항들을 명확하게 알 수 있도록 개인정보보호 관련 법·제도 역시 개선되어야 할 과제가 있는 것이다.
\r\n
\r\n
향후 개인정보보호 정책 방향 앞으로 개인정보는 온라인 마케팅 등 비대면 거래, 맞춤형 서비스 제공, 빅데이터 분석 등을 통해 그 활용이 크게 증가할 것이며, 비례해서 개인정보의 안전성에 대한 관심과 사회 전반의 보호 수준을 향상시키는 노력이 필요할 것이다. 또다시 개인정보 유출사고가 재발하지 않으리라 장담할 수 없으며, 금년 초 카드 3사 개인정보 유출사고에 대해 개인정보보호가 우리 사회의 문화로 정착될 수 있는 중요한 계기로 삼아야 할 것이다. 정부는 카드 3사 개인정보 유출사고 이후 2월부터 총리실에 ‘범정부 개인정보보호 TF’를 구성하고 사회 전반의 개인정보보호 실태 점검, 법·제도 정비 등을 추진 중이며, 국민들이 높은 보호의식에 발맞춰 기업·공공기관 등 사회 전 분야에서 개인정보보호 조치를 스스로 이행하도록 유도하는 다양한 방안을 제시할 것이다.
\r\n
\r\n
첫째, 개인정보보호 관련 법률간 정합성을 제고하고자 한다. 개인정보보호법 제정 당시 정보통신망법 등 개별법의 개인정보보호 관련 규정을 삭제하고자 하였다. 그러나 논의 과정에서 관련 규정들을 여전히 남겨놓았고, 그 결과 여러 법령에서의 중복과 해당 법률을 관장하는 감독기구가 혼재되어 수범자 입장에서 혼란과 불편이 존재했다. 2012년 정보보호 실태조사 결과에 따르면 72.7%의 사업자가 온·오프라인을 병행해 수집하고 있어 개인정보보호법과 정보통신망법이 중복 적용되고 있음을 알 수 있다. 중복 규제·감독은 개인정보보호 관련 개별법이 제정·시행된 이후 사각지대 해소 등을 위해 일반법인 개인정보보호법이 제정되면서 가지게 된 구조적인 문제이며, 이제 개인정보보호 관련 법률간 정합성을 정비할 기회를 놓치지 말아야 한다. 정부는 개인정보보호법과 유사·중복되는 규정들은 삭제 또는 정비하고, 각 개별법의 적용대상을 명확하게 하는 등 정합성 제고를 위해 노력할 것이다.
\r\n
\r\n
둘째, 개인정보 유출사고가 발생한 경우 그로 인해 피해를 입은 국민들의 금전적 보상 등을 강화하고 기업에겐 무거운 책임감을 부여할 수 있는 새로운 피해구제제도 도입을 전향적으로 검토하고 있다. 개인정보보호법은 개인정보처리자에게 고의 또는 과실이 없음을 입증하도록 입증책임을 전환하고 있으나, 그간 손해배상을 인정하지 않은 판례가 대다수였다. 물론 개별법에서 정하고 있는 과징금 등 기업에게 책임을 물을 수 있는 제재수단을 마련되어 있으나 피해를 입은 당사자에게 금전적 보상이 돌아가는 것은 아니다. 최근 국회에서도 징벌적 손해배상제, 법정손해배상제, 집단소송 등 다양한 피해 구제제도 도입이 논의 중에 있으며, 4월 국회에서는 법정손해배상제를 도입한 정보통신망법이 본회의 의결을 거쳐 공포되었다. 또한 고의·중과실로 개인정보가 유출된 경우 그 손해액의 3배 이내에서 배상토록 하는 징벌적 손해배상제를 신용정보법에 반영하는 개정안이 정무위 법안소위에서 의결된 바 있다. 새로운 피해구제제도 도입은 기업 존폐와 직결되는 비용 부담, 남소로 인한 사회적 비용 증가 등 부작용을 충분히 고려되어야 하나 그동안 개인정보보호를 소홀히 했던 기업들에게 강력한 신호를 줄 것으로 기대된다.
\r\n
\r\n
셋째, 개인정보보호법 위반 시 제재 처분을 강화하고 그 결과를 공표하는 범위를 확대할 것이다. 개인정보보호법 시행 초기에는 단속보다는 계도 목적으로 점검을 실시하였다. 이는 제도 도입에 따라 개인정보처리자가 갖추어야 할 시설과 인력, 시스템 구축 등의 비용이 만만치 않아 중소 영세사업자 등은 스스로 조치를 취하기 쉽지 않았다는 점을 고려했던 것이다. 하지만 개인정보보호법 시행 3년이 지난 지금 개인정보보호에 대한 인식이 높아지고 카드3사 유출사고 이후 법질서 확립을 위해 제재 처분을 강화해야 한다는 요구가 증가하고 있다. 따라서 엄격한 법집행을 통해 사후 제재를 더욱 강화하는 한편 중대한 위반행위를 한 사업자들에 대한 공표기준을 완화하여 일간지 등에 공표하게 함으로써 경각심을 고취하고 개인정보보호법 질서를 확립할 계획이다.
\r\n
\r\n
넷째, 개인정보보호법 시행 이후 일부 제도개선사항들을 발굴·검토해 보완할 계획이다. 예를 들어 개인정보를 제3자로부터 제공받을 경우 수집 근거 및 출처를 관리하도록 하여 정보주체의 출처 고지 요구 대응을 강화하고, 그동안 영향평가 의무대상을 공공기관에서 국민생활에 밀접한 영향을 미치는 대규모 민간 사업자들까지 확대하고 영향평가 결과를 공개하도록 하는 방안들이 검토되고 있다. 정부는 개인정보보호법이 기업 경제활동과 국민 일상생활에 정착할 수 있도록 노력하고 있으며, 사회적 인식 수준이 높아진 만큼 개인정보보호의 문화가 우리 사회에 뿌리내리도록 지원을 아끼지 않을 것이다. 개인정보보호법을 위반하면 처벌과 막대한 비용을 지불해야 한다는 우려 때문에 개인정보를 보호하는 것이 아니라 수범자 스스로 인식하고 잘못된 관행을 바꾸려는 실천이 필요하다. 개인정보보호의 원칙과 기준이 지켜지는 안전하고 신뢰받는 정보사회가 구현되길 기대한다.
\r\n
\r\n
\r\n
[월간 시큐리티월드 통권 제211호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
