최근 개인정보 대량 유출 사태를 둘러싼 쟁점 및 동향

1. 대형화, 일상화되는 개인정보 유출

개인정보 대량 유출 사태가 계속 이어지고 있다. 해킹이나 내부 관리 소홀을 틈탄 금융기관이나 통신사, 인터넷 서비스 업체의 개인정보 유출 사고는 점점 대형화, 일상화되는 추세다.

온라인 쇼핑 사이트 옥션에서 1,863만명, GS칼텍스에서 1,151만명이 넘는 회원의 개인정보가 유출되는 사건이 벌어진 것이 2008년이었다. 당시 큰 사회적 충격과 함께 개인정보 유출 방지를 위한 기술적, 관리적 보완에 대한 사회적 요구도 커졌다.

하지만 2014년 지금까지도 거의 매해 대형 개인정보 유출 사고가 벌어지는 것이 현실이다. 올해 들어서도 신용카드 3사에서 1억명 이상의 개인정보가 새나가고 KT에서 1,200만명의 회원 정보가 해킹되는 등 대형 개인정보 유출 사고가 연달아 일어났다.

사실상 전국민의 개인정보가 공공재 수준으로 한국과 중국을 떠돌아 다니고 있다. 수많은 보안 강화 대책과 개인정보 보호 정책에도 불구하고, 국민의 개인정보는 거의 보호가 안 되는 상황이다. 전자상거래나 온라인 금융을 이용할 때마다 공인인증서와 각종 정보보호 프로그램 설치를 강요당하고, 극도의 불편과 시간 낭비를 겪으면서도 국민들은 상시적으로 개인정보 유출과 그로 인한 금전적 피해에 노출되는 것이 현실이다.

2. 개인정보 유출 사고 동향과 유형

가. 국내 주요 개인정보 대량 유출 사고

2008년 이후 국내에서는 거의 매년 대형 개인정보 유출 사고가 이어지고 있다. 2000년대 초반 시작된 초고속인터넷의 보급으로 전자상거래, 포털 온라인게임 등 전국적 규모의 서비스가 등장하고, 이런 사이트에 저장된 대규모 개인정보의 가치를 인식한 범죄형 해킹이 본격적으로 나타나기 시작한 시기와 일치하는 것으로 보인다. 이 시기인 2008년에는 옥션 회원 1,863만명, GS칼텍스 회원 1,151만명의 개인정보 유출 사고가 있었고, 2010년에는 신세계몰과 러시앤캐시 등에서 2,000만건의 개인정보가 유출돼 팔려나가는 일이 있었다.

2011년에는 당시까지 최악의 개인정보 유출 사건인 SK커뮤니케이션즈 해킹 사건이 터졌다. 포털 네이트와 싸이월드 사용자 3,500만명의 개인정보가 외부 해커에 넘어간 사건이다.

같은 해 넥슨의 인기 게임 ‘메이플 스토리’ 사용자 정보 1,320만명의 개인정보가 유출되었고, 현대캐피털에서도 개인정보 해킹이 있었다.

2012년에는 KT 휴대폰 사용자 873만명의 개인정보 유출 사고가 벌어졌고, 2년이 채 안 된 2014년 초에 또다시 1,200만명의 고객 정보가 유출돼 비난을 받았다. KT에 앞서 KB국민카드, NH농협카드, 롯데카드 등 3개 대형 카드사에서 중복 고객 포함, 1억580만명의 카드번호와 휴대폰 번호 등 개인정보가 유출되는 초대형 개인정보 사건이 터졌다. KT 수사 과정에서 소셜커머스 업체 티켓몬스터의 개인정보 해킹 사건도 추가로 드러나는 등 2014년은 새해 벽두부터 개인정보 유출 사고로 시끄럽다.

나. 개인정보 대량 유출 사고의 유형

1) 기술적 문제로 인한 보안 사고

해커가 악성코드 등을 이용해 사내 정보 시스템에 침입해 고객 정보 등을 빼가는 해킹은 개인정보 유출 사고의 대표적 형태다. 최근 기업들은 정보보호에 대한 사회적 관심이 크고, 정부 규제가 엄격하기 때문에 강력한 개인정보 시스템을 구축하는 경우가 많다.

따라서 해커들은 보통 장기간에 걸쳐 목표 기업의 시스템을 분석하고 악성코드를 침투시켜 시스템의 헛점을 만들고, 보안 탐지에 걸리지 않도록 조금씩 오랜 시간을 두고 정보를 빼오는 것이 일반적이다.

직원에 악성코드가 숨겨진 메일을 보내, 수신자가 무심코 첨부 파일을 클릭했을 때 악성코드가 작동하도록 해 개인정보를 빼낸 옥션 개인정보 유출 사태가 이에 해당한다. SK커뮤니케이션즈 개인정보 유출 사고 역시 외부 안티 바이러스 백신의 취약점을 악용해 내부 고객정보에 접근한 사례이다.

이런 종류의 해킹 사고는 피해 기업이 법에 정해진 기술적 유의 사항을 충분히 했음을 법정에서 보일 경우, 책임을 묻지 않는 경우가 많다. 개인정보 유출 사고 피해자들이 제기한 민사 소송에서 기업에 의미있는 책임을 물은 사례도 거의 없다.

2) 내부 관리 문제로 인한 보안 사고

해킹 등의 기술적 문제가 아니라, 고객 정보 데이터베이스에 접근 가능한 내부자가 주도적으로 개인정보를 유출하는 등의 관리적 문제에 따른 정보보호 사고도 근절되지 않고 있다.

수년째 대형 개인정보 유출 사고가 이어지고 보안 투자와 조직 내 정보보호 인식의 중요성이 높아지는 상황임에도 어이없는 내부자 소행에 의한 정보 유출이 이어지는 것은 의아한 현상이다.

최근 카드 3사나 2008년 GS칼텍스 개인정보 유출 사고는 사내 개인정보 관리 업무를 담당하는 내부 인력이 관여한 대표적 사건이다. 카드 회사에 파견돼 카드 도난 및 분실, 위변조 탐지 시스템을 개발하던 외주사 직원이 1년 이상 시간에 걸쳐 USB에 개인정보를 담아 유출했다. 이 사람이 일하던 신용평가 전문 회사 KCB는 19개 금융사 출자로 설립된 회사였다.

GS칼텍스 사건 역시 담당 직원이 고객 정보를 빼내 DVD에 구워 판매하려 했던 사건이다. 최근 KT 고객센터 홈페이지를 통한 개인정보 유출 사건은 외부 해커 소행이기는 하지만, 얼마든지 방어가 가능한 것으로 알려진 해킹 기법에 당할 정도로 내부 관리가 엉성했다는 점에서 관리적 문제에 의한 개인정보 유출로 분류할 수도 있다.

3. 쟁점과 대안

가. 기업 책임 어디까지, 소비자 배상 어디까지?

지금까지 국내에서 벌어진 대형 개인정보 유출 사건은 대부분 피해자는 있는데 가해자는 없고, 책임지는 사람도 없는 기형적 형태를 보였다. 개인정보를 유출한 내부자가 검거되는 경우 외에, 사내 시스템에 침입한 외부 해커를 체포한 경우도 거의 없다. 내부자에 의한 개인정보 유출 중 발각되지 않은 사례가 있을 수 있음을 고려하면 실제 개인정보 유출 범죄자에 대한 검거나 처벌은 미미하다 하겠다.

해킹 피해를 당한 기업 역시 해킹 방지를 위해 최선의 노력을 다했음을 법정에서 주장하면 실질적으로 배상 책임을 면제받는 경우가 많다. 옥션이나 SK커뮤니케이션즈 회원 중 개인정보 유출로 피해를 봤다고 주장하는 사람들의 민사 소송이 잇달았지만 법원은 대부분 회사 손을 들어주었다.

구미 지역 법원에서 SK커뮤니케이션즈 사용자의 손을 들어준 판례가 있긴 하지만 대세에는 큰 영향을 주지 못 하고 있다.

사실상 개인정보 유출 가해자에 엄한 책임을 묻기 불가능한 상황에서 개인정보 유출이 계속적으로 일어나면서, 이제는 거의 전 국민의 개인정보가 공공연히 유통되고 암시장에서 거래되는 우리 국민의 개인정보 가격 자체가 하락하는 웃지 못할 일까지 벌어지고 있다.

나. 촘촘한 규제가 혁신 억누른다

잇단 개인정보 사고에도 불구하고 유출 기업은 면죄부를 얻고, 일반 국민은 체념 상태에 빠지게 되는 원인은 역설적으로 우리 나라의 엄격한 개인정보 관련 법과 규제 때문이라는 주장도 나온다.

주민등록번호와 공인인증서 제도를 축으로 국가가 개별 기업이나 기관에 촘촘하게 정보보호 체제의 운용 기준을 제시하고 있기 때문에 여기서 벗어나 자사 서비스나 환경에 맞는 개인정보 보호 기술이나 정책을 펼치기 어렵다는 주장이다. 중소기업은 정부 기준을 맞추기 위한 인적․물적 자원 투입만으로도 버겁고, 대규모 회원 정보를 가진 대기업도 규제 당국의 눈길을 벗어난 새 정책을 도입하기 보다는 법에 정해진 가이드라인만 지키는 것이 효율적이라는 인식이 퍼져 있다.

정해진 규칙만 지키면 형사적 책임을 지지 않고, 집단소송 제도도 없는 상황에서 개인정보 유출에 따른 재정 위협을 당할 일도 거의 없는 것이 현실이다.

개인정보 보호를 위해 전자 결제를 제공하는 기업이 사용자 신용카드 정보를 저장하지 못 하게 하는 우리나라에서 신용카드 사용자의 카드번호가 내부자에 의해 마구잡이로 팔려나가는 반면, 신용카드 정보를 보관해 원클릭으로 간단하게 구매가 가능하게 하는 아마존 같은 해외 민간 기업에선 개인정보 유출 사고가 없다.

개인정보 유출에 따른 강력한 민형사 위협을 피하기 위해, 자사 고객 불편을 최소화하면서 정보보호를 강화하는 각종 정책과 기술에 끊임없이 투자하기 때문이다.

다. 개인정보 보호, 근원적 질문도 필요하다

따라서 국내에서도 개인정보 보호를 위한 기술이나 정책, 개인정보 수집 범위를 각 기업이나 기관이 여건에 맞게 선택할 수 있게 하고, 개인정보 유출 사고가 터졌을 때 관리 책임을 엄하게 묻는 쪽으로 개선이 필요하다는 목소리가 힘을 얻고 있다.

이는 개개 국민이나 기업의 자율적 선택을 존중하지 않고, 국가가 모든 문제를 예방하고 피해를 막는다는 명분 하에 지속적으로 법과 규제를 만들어가는 ‘가부장적 국가’ 모델에 대한 재검토를 요구하는 것이기도 하다.

유무선 인터넷의 보급으로 급속히 경제 활동의 국경이 없어지면서 국내만을 염두에 둔 규제가 더 이상 힘을 발휘하지 못 하게 된 것도 현실이다. 개인정보 보호와는 다른 상거래 활성화 맥락에서 나온 이야기이긴 하지만, 국내 정보보호 정책의 핵심 키인 공인인증서가 대통령도 거론하는 대표적 ‘대못 규제’로 거론되는 상황이 된 만큼 효율적 개인정보 보호 체제 마련을 위해 모든 가능성을 염두에 두고 토론할 수 있는 여건이 됐다고 할 수 있다.

최근에는 주민등록번호 제도 자체에 대한 이의 제기도 조금씩 나온다. 그 자체로 개인에 대한 각종 정보를 담고 있는데다, 수많은 다른 공공 및 금융 개인정보에 접근하는 키 역할을 하는 주민등록번호라는 값진 재화가 있는 이상, 이를 노리는 시도도 이어질 것이기 때문이다.