주위에 물어 보니 반 정도는 당한 것 같다. 나도 당했다. 옥션 얘기다. 1081만 명. 그 엄청난 숫자에 다들 놀랐다. 하지만 고객이 차곡차곡 입력한 600만 건의 개인정보를 전국 1,000여 개 텔레마케팅 업체에 제공하여 개인정보 ‘사업’을 했다는 하나로텔레콤의 소식을 들으면서 이제 분노하게 되었다.

사실 이런 개인정보의 유출, 노출, 판매, 도용, 악용, 불법 사용 등은 어제 오늘의 일이 아니다. 2000년대 초반부터 간간이 발생하던 개인정보 유출 문제는 2006년부터 본격화 되어, 통신사나 통신사 대리점, 폰팅업체, 인터넷쇼핑몰, 은행, 검색엔진 등 개인정보가 집적되어 있는 수많은 곳에서 다양한 방법으로 개인정보가 유출되어 왔고, 이번 옥션과 하나로텔레콤 사태는 그 중 좀 규모가 큰 사례일 뿐이다.

개인정보 유출의 두 가지 유형…내부자와 외부자

개인정보 유출 원인은 크게 내부자가 한 것과 외부자가 한 것으로 나눠 볼 수 있다. 하나로텔레콤의 사례는 내부자가 한 것이고, 옥션의 사례는 외부자가 공격한 것이다. 이번 옥션 사태가 워낙 컸고, 언론이 큰 관심을 기울였기 때문에 외부자의 공격에 의한 개인정보 유출이 부각되고 있으나, 사실 대규모 개인정보 유출사태는 대부분 내부자에 의해 이뤄져 왔다. 개인정보가 집적된 곳에서 이를 적법하게 접근하고 빼돌려서 이를 외부에 판매하거나 사업에 악용하는 사례가 많았다. 아무래도 외부에서 공격하는 것보다는 내부에서 정보를 접근하여 유출하는 것이 손쉽고, 그것을 악용하여 사업할 수 있는 여건이 마련되어 있기 때문이다. 특히 개인정보가 가장 많이 집적되어 있는 통신사들은 개인정보 유출의 ‘진원지’가 되고 있다.

물론 외부에서 보안 공격에 따른 개인 정보의 유출도 꾸준히 이뤄지고 있다. 특히 보안이 허술한 업체나 PC에서의 개인 정보 유출이 많다. 대표적인 것이 키보드 입력정보 유출 프로그램(keylogger)이나 원격제어 프로그램을 통한 개인정보나 금융정보의 유출, 게임 계정 유출 악성코드를 통한 게임 계정의 유출이다. 안철수연구소 통계를 보면 게임 계정 유출 악성코드는 2007년 1사분기 508건에서 올해 1사분기 676건으로 33% 증가하면서 꾸준히 증가 추세를 보였다.

개인정보 이용해 돈을 벌 수 있는 산업구조 이미 형성돼 있어

내부자나 외부자가 빼돌린 개인 정보는 돈벌이에 손쉽게 이용된다. 금융사기, 카드사기, 세금환급 사기 등 온갖 전화사기, 개인정보 판매 사업, 온라인 게임아이템 사업, 각종 텔레마케팅, 스팸 메일 발송, 스팸 문자 발송 등 온라인과 오프라인에서 개인정보를 이용해 돈을 벌 수 있는 산업 구조가 형성되어 있고, 이를 처벌하는 법과 제도가 강력하지 않아서 개인정보의 유출과 도용이 쉽사리 없어지리라 기대하기는 어렵다.

하지만 지난 수년 간 여러 ‘사건’과 ‘대책’이 나오면서도 개인정보 유출이 계속되어 오는 상황을 보면서 몇 가지 보완했으면 하는 바람이 있다.

우선 어떤 대책이든 ‘실효성’이 있으면 좋겠다. 보기로 사용자 동의 절차에 대한 대책을 보면, 방통위에서 지적했다시피 정통망법에 개인정보의 수집과 이용에 대한 동의 절차가 잘 규정되어 있다. 그러나 경제정의실천연합(경실련)에서 조사한 바에 따르면, 개인정보 수집업체가 이용자 동의 없이 개인정보를 3자에 제공한 경우, 이용약관 속에 개인정보 활용 동의를 끼워 넣은 경우, 이용약관과 개인정보 활용 동의를 일괄로 받는경우 등 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)의 조항을 어긴 사례가 상당수 있다고 한다. 아무리 좋은 법이나 제도가 있다 하더라도 위반에 따른 처벌 조항이 약하다면 실효성이 없음을 보여 주는 사례이다.

한 가지 예를 더 들어 보자. 우리가 많이 겪지만 심각한 범죄로 생각하지 않는 것 중의 하나가 스팸메일 발송이다. 사상 최악의 스팸메일 발송자로 유명한 ‘스팸 여왕 김하나’가 있었다. 잡고 보니 22살의 박모씨(남성)였는데, 그는 스팸발송 프로그램을 만들어 불특정 다수에게 100여 차례에 걸쳐 16억 통의 스팸메일을 발송하고 피싱 은행사이트(개인정보를 수집하기 위해 마치 은행을 위장한 사이트)를 만들어 12,000명의 개인정보를 불법 수집한 혐의로 기소되었는데, 고등법원은 징역 8월에 집행유예 2년, 사회봉사 80시간의 선고를 내렸다.

어떤 대책이든 가장 기본은 실효성

스팸메일이 우리나라 전산망에 오가는 메일의 90% 이상을 차지하고, 음란 스팸 때문에 가족이 있을 때 메일 열어 보기가 겁나는 우리나라 환경에서, 엄청난 양의 개인 이메일 주소를 수집하여 전 국민이 30통 이상씩 받았을 천문학적인 수의 메일을 보낸 악성 범죄자에게 이런 솜방망이 처벌이 이뤄지고 있는 것이 개인정보 범죄가 줄어들지 않는 배경이 되고 있다. 스팸메일 발송자는 검거하기는 어렵지만 일단 검거된 발송자는 강력하게 처벌하는 것이 필요하다. 아직 법원이 이러한 IT 기반 범죄가 우리 사회에 미치는 해악의 심각성을 충분히 이해하고 있지 못한 게 아닐까 하는 생각도 든다. 특히 스팸메일이 악성코드의 주요 전파 경로가 되고 있어서 정통망법상의 악성프로그램 유포로 처벌하는 것도 검토해 볼 만하다. 어떠한 대책이든 강력한 처벌 조항 없이 실효성을 거두기 어렵다는 점은 명백하다.

결국 “완벽한 보안은 없다”는 정보보호의 금언에 비춰 볼 때 좀더 근본적으로 우리가 인터넷 서비스를 받기 위해 꼭 주민번호를 비롯한 개인정보를 입력해야 하는지 숙고해 볼 필요가 있다. 구글 등 해외 서비스에는 이름, 아이디, 암호, 이메일 주소 정도만 입력하면 웬만큼 다 가입할 수 있다. 유독 국내 서비스 업체들이 주민번호를 비롯해 집 주소, 사무실 주소, 집 전화, 휴대전화, 생일 등 온갖 개인정보를 필수적으로 입력하게 한다. 영세한 쇼핑몰조차도 이것들을 다 요구하는데, 막상 입력하다 보면 이런 곳에서 수집한 개인정보를 안전하게 관리하고 있을까 하는 의구심이 든다. 서비스에 필수적인 항목만 반드시 입력하게 하고, 마케팅에 필요한 항목 등은 선택하여 입력하거나 아예 입력하지 않도록 하는 등 충분히 개선할 수 있는 여지가 있으리라 판단된다.

방통위가 내 놓은 ‘기술적 대책’은 정부에서 할 일보다는 서비스를 제공하는 기업이나 공공부문에서 할 일이 더 많다. 개인정보 유출을 대비하는 것뿐 아니라, 중국발 분산서비스거부(DDoS) 공격과 같이 잘 알려 진 보안 공격을 막기 위해서 미래에셋과 같은 대기업조차도 최소한의 보안 투자를 해 오지 않은 현실에서, 이러한 이슈가 불거졌다고 서비스업체들이 얼마나 더 보안투자를 할 건지 사실 회의적이다. 모든 인터넷 서비스는 그것과 네트워크로 연결된 내부나 외부에서 공격이 가능하기 때문에 매우 위험할 수 있는데도 불구하고 보안 투자는 회사의 리스크 관리 수준에도 못 미치는 항목으로 되어 왔다. 단적으로 2007년 보안산업의 규모가 약 7400억이고, 그나마 보안 솔루션과 함께 들어간 컴퓨터 하드웨어를 제외하면 5000억을 넘지 않을 거라고 예측한 자료가 이를 뒷받침 한다.

만약 규제완화가 국민과 공공의 이익을 침해한다면 …

게다가 새 정부에서는 ‘규제완화’라는 말을 금과옥조처럼 여긴다. 기업 활동을 저해하는 규제를 없애는 일은 누구나 환영할 만한 일이다. 하지만 그 ‘규제 완화’가 국민의 이익, 공공의 이익 등을 침해하고 사회의 근간을 흔들 수 있다고 한다면, 그 ‘완화’를 주술처럼 외울 것이 아니라 실제적인 내용을 들여다 봐야 할 것이다. 2001년 미국의 세계적인 에너지 기업인 엔론과 통신업체 월드컴의 대형 회계조작사태 이후 미국에서 기업의 투명성을 보장하기 위해 회계를 비롯한 각종 규제를 강화하는 사베인-옥슬리 법안(Sarbanes-Oxley Act)이 제정되었고, 점차 세계적인 추세가 되었다. 회계조작은 ‘숫자’를 통해 움직이는 자본주의의 근간을 무너뜨리는 범죄 행위이기 때문이다. 정보기술(IT) 없이 우리 사회가 1분, 1초도 돌아가기 어려운 지금, IT 보안, 정보보호를 통해 우리 사회의 근간을 이루고 있는 IT를 보호하는 일은 기업의 ‘숫자’를 보호하는 일 못지 않게 중요하다. 보안 없는 IT는 재앙이 되기 때문이다.

이러한 인식을 바탕으로 개인정보보호기본법에 대한 논의가 활성화 되었다. 공공기관의 개인정보보호에 관한 법률, 정통망법, 신용정보의 이용 및 보호에 관한 법률, 2006년부터 보건복지부가 추진해 온 건강정보호 및 관리운영에 관한 법률 등 여러 곳에 산재해 있는 개인정보보호에 관련 조항들이 특정 분야별로 별도로 있는데다 주로 개인정보의 이용과 촉진을 강조한 뒤 그것의 부작용을 보완하기 위한 수단으로서 정보보호를 언급함으로써 전반적인 개인정보 보호의 실효성을 떨어 뜨려 왔다.

따라서 개인정보보호의 근간을 이루는 강력한 개인정보보호기본법의 제정은 매우 긴급하면서도 중요하다. 이미 2004년부터 각 당에서 내 놓은 법안이 있고, 이번 사건으로 사회적 공감대가 이뤄져 있기 때문에 올해 안에 법안이 제정될 것을 기대할 수 있게 된 점은 퍽이나 다행이다. 다만 개인정보의 수집과 저장, 활용, 폐기 등 기업이나 공공부문에서 이뤄지는 각 행위에 대해 절차와 범위, 책임, 처벌을 명확하게 할 필요가 있고, 개인정보의 주체가 자신의 정보에 대한 접근권을 보장받으면서 그것의 생성, 수정, 이용, 폐기 등 전 과정을 인지하고 개입할 수 있도록 해야 한다는 점을 특별히 강조하고 싶다.

그 동안 벌어진 대규모 개인정보 유출 사태를 보면서 이제 ‘정보보호’라는 관점에서 각 인터넷 서비스와 서비스 인프라를 바라 봐야 하는, 발상의 전환이 필요한 때가 된 거 같다. 우리 사회의 법률, 제도, 산업, 투자, 기술, 개인과 사회의 인식 등 사회 전반에 대한 인식과 성찰을 한 단계 높임으로써 개인정보를 존중하는 체계로 한 걸음 나아갈 수 있기를 바라는 마음 간절하다.