개인정보 보호법과 관련 이슈

1. 개인정보 보호법 제정 과정

한국은 90년대 후반부터 정부의 강력한 지원을 통해 IT 인프라를 빠르게 확충해 나갔고, 전 세계에서 초고속인터넷이 가장 많이 보급된 인터넷 강국으로 거듭났다. 다른 선진국보다 빠른 인터넷 보급과 활용은 여러 사회적 문제를 가져오기도 하였는데, 그 중 하나가 개인정보의 무분별한 수집과 유통에 의한 피해였다.

2000년대 초반, 개인정보에 대한 중요성이 지금처럼 널리 부각되지 않았던 때에, 각종 인터넷 사이트들은 수많은 개인정보를 수집하였고, 이용자의 동의를 얻지 않고 이를 활용하였다. 이 때문에 이용자들은 원치 않는 스팸메일, 전화 마케팅 등으로 피해를 입었으며 심지어 음성전화사기 같은 범죄에 노출되기도 하였다. 이에 따라 인터넷의 개인정보의 이용을 규율하던 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은 개정시마다 개인정보와 관련된 부분이 강화되어 왔다. 또한 각 분야별로 개별법을 통해 개인정보의 보호를 위한 조항이 등장하였다. 하지만 개별법 체계에서는 법 적용을 받지 않는 사각지대의 문제가 존재하고, 각 개별법 별로 규율의 정도 등이 다르다는 문제점이 있었기 때문에 개인정보 보호를 규율할 일반법적 법률이 필요했다.

이러한 필요성 때문에 개인정보 보호를 위한 일반적인 법률의 제정은 2003년 전자정부 30대 과제중 하나로 선정되어, 정부에서 입법논의가 제기되었고, 학계의 주목을 받아 17대 국회에서 민주노동당 노회찬 의원안, 열린우리당 이은영 의원안, 한나라당 이혜훈 의원안이 발의되었다. 하지만 개인정보보호 추진체계와 개인정보의 이용·제한에 대한 기본적인 입장 차이를 좁히지 못하여 표류하였다. 이후 2006년 전문가, NGO, 사업자가 참여하여 세 안을 통합하여 대안을 작성하였지만, 정부와의 입장차이로 17대 국회에 폐회까지 합의가 이루어지지 않아 자동 폐기 되었다.

개인정보 보호를 위한 법안이 계속 표류중인 가운데, 개인정보 유출 사건은 점차 늘어나게 된다. 2008년 2월 인터넷 쇼핑몰을 운영하는 옥션이 해킹으로 개인정보 1,081만건이 유출되는 사건, 2008년 4월 SK브로드밴드에서 600만명 개인정보를 텔레마케팅 업체에 불법 전달한 사건, 2008년 9월 GS 칼텍스에서 내부 직원이 대가를 목적으로 1,125만명의 개인정보를 유출한 사건 등이 연달아 발생하였다. 이명박 정부도 중요성을 인식하고, 개인정보 보호법 제정 태스크포스를 운영하여 18대 국회에 상정하고(2008년 11월), 비슷한 시기에 한나라당 이혜훈 의원(2008년 8월), 민주당 변재일 의원(2008년 10월)이 개인정보 보호법을 발의한다. 이러한 3개의 안을 중심으로 행정안전위원회 안이 대안으로 제시되고, 논의를 거쳐 여·야 합의로 개인정보 보호법이 2011년 3월 29일 공포되었다. 본 글에서는 위 개인정보 보호법의 주요 내용을 살펴보고, 최근 발생한 개인정보 유출사건과 관련한 이슈를 정리해 보고자 한다.

2. 개인정보 보호법의 주요 내용

개인정보 보호법은 개인정보 보호에 대한 일반법의 지위를 가지고 있으므로, 규율대상이 넓어진 것이 가장 큰 특징이다. 이전 개인정보보호 관련 법제는 각 법률이 규율하는 분야별로 개인정보 보호의무가 주어졌고, 그 분야에 해당하지 않는 영역에 있어서 개인정보가 보호되지 않는 법적 공백이 있었기 때문에 개인정보 보호법은 규율대상을 모든 공공기관·사업자로 확대하였다. 이를 통해 기존 법 적용을 받던 50만개의 기관·사업자에서 300만개의 기관·사업자가 새로 법 적용을 받게 된 것으로 추산된다. 또한 공공기관의 개인정보 보호에 관한 법률 등 대부분의 정보보호 개별 보호 법령이 컴퓨터로 관리되던 문서를 보호 대상으로 삼았던데 반해, 개인정보 보호법은 수기로 기록된 개인정보도 보호의 대상으로 삼았다. 개인정보 수집 시 정보주체의 동의, 법률의 규정 등의 일정한 경우에만 개인정보를 수집할 수 있도록 하였으며(법 15조), 개인정보의 이용 역시 정보주체의 동의를 바탕으로 이용할 수 있도록 하였다. 또한 개인정보처리자는 정보제공자의 동의에도 불구하고 수집목적에 비추어 최소한의 정보만을 수집하여야 하며, 이에 대한 입증책임을 개인정보처리자가 부담하게하여(법 16조) 책임을 강화하고 있다.

특히 개인정보와 관련하여 피해가 가장 빈번하게 나타나는 개인정보의 제3자 제공·목적 외 사용에 강한 제한을 두었다. 원칙적으로 제3자 제공·목적외 사용을 금지하고, 개인정보 보호법이 정한 경우 혹은 개인정보 주체에게 개인정보 제공자, 이용목적, 제공 항목, 개인정보 제공자의 보유 및 이용기간을 알려 승인을 얻을 경우에만 제3자 제공·목적외 사용이 가능하도록 하였다. 더 나아가 내용이 동의 이후 개인정보 제공자, 이용목적, 제공 항목, 개인정보 제공자의 보유 및 이용기간이 변경될 경우에도 동의를 얻도록 하였다(법 17조, 18조).

또한 동의 절차도 법정화하여, 홍보·판매 등 목적의 개인정보 처리에 대한 동의를 받을 때에는 정보주체에게 별도로 그 사실을 알리도록 하였다(법 22조). 이는 경품 제공 등을 이유로 개인정보를 요구하고 이를 무분별하게 사용하는 것을 제한하려고 한 취지로 이해된다.

주민등록번호 등 고유식별정보 처리와 관련하여, 원칙적으로 처리를 금지하는 조항(법 24조)을 두고 정보주체의 별도 동의나, 법령의 근거가 있는 경우에 예외를 허용하였다. 이를 바탕으로 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개정되어, 2012년 8월 18일부터 인터넷을 이용해 서비스나 재화를 제공하는 기업은 주민등록번호 수집이 금지된다.

또한 기존에는 정보통신서비스 제공자만 인터넷상 주민등록번호 외의 회원가입방법을 제공해야했지만, 개인정보 보호법에서는 대통령령으로 정하는 기준으로 확대함으로서, 공공기관 일부 민간분야의 개인정보 처리자도 I-Pin 등 우회 본인확인 절차를 통한 회원가입이 의무화되었다.

개인정보의 관리를 위한 조항도 법제화되었다. 개인정보처리자는 대통령령으로 정하는 안전성확보를 위한 기술적·관리적 및 물리적 조치를 하여야 하고(법 29조), 개인정보 처리방침을 수립하여 공개하여야 하며(법 30조), 개인정보 보호 책임자를 지정하여야 한다(법 31조).

한편, 2006년 개인정보 보호법 합의안에서 삭제되었던 영향평가제도는 다시 추가되었다. 단 공공기관만이 영향평가 의무대상이며, 민간기관은 자율시행으로 규정되었다(법 33조).

개인정보의 자기통제권과 관련된 부분도 강화되었다. 개인정보가 유출된 경우 지체 없이 정보주체에게 그 사실을 알리도록 하고(법 34조), 개인정보 열람권(법 35조), 정정·삭제권(법 36조)을 규정하였다. 정보주체의 피해 구제를 위한 규정도 신설되어, 개인정보와 관련하여 분쟁조정 및 집단분쟁조정(법 49조)을 법정화하였다. 이러한 분쟁조정은 기존 각 특별법에 산재하던 분쟁조정보다 강화된 것으로 집단분쟁조정을 규정하였고, 그 효과도 약한 ‘민사상 화해’가 아닌 강한 ‘재판상 화해’로 규정하였다. 또한, 개인정보처리자가 집단분쟁소송을 거부하거나 결과를 수락하지 않은 경우 단체소송을 규정하여 피해 규제가 강화되었다. 하지만, 단체소송의 경우 ‘권리침해 중지·정지 단체소송’으로 국한하였으며, ‘재산피해 구제 단체소송’은 도입되지 않았다.

기타 개인정보보호업무를 담당하는 대통령 소속의 ‘개인정보보호위원회’를 신설하여 관련 정책을 심의 의결하는 한편, 국가기관을 대상으로 시정조치 권고를 할 수 있는 권한을 부여하였다(법 6장). 또한 행정안전부장관은 민간개인정보처리자의 개인정보보호활동을 촉진·지원하는 시책을 마련해야 한다고 규정하여(법 13조) 자율규제 활동을 지원하도록 하였다.

3. 개인정보 보호법 관련 비평

개인정보 보호법은 기존의 법적 공백을 최대한 줄이고, 개인정보 보호에 대한 원칙과 기준을 제시하고 있다는 점에서 긍정적이다. 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)(법 2조)” 로 명확히 규정한 점과, 개인정보 통제권을 법정화 하였다는 점, 그리고 개인정보 유출 사고를 막기 위한 영향평가제의 실시 등은 장점으로 평가된다.

하지만 인터넷 분야에 있어 개인정보 보호법 관련 문제점도 지적된다. 무엇보다 개인정보 보호법의 문제는 개인정보 보호를 위해 여러 국가기구가 과도하게 중복적으로, 또한 자율의 영역까지도 규제하고, 이에 따라 사업자의 부담이 커진다는 의견이다. 실제로 인터넷과 관련된 개인정보 보호 관련 주무관청을 보면, 개인정보 보호법의 소관부처는 행정안전부로서, 정보통신망 이용촉진 및 정보보호 등의 관한 법률의 소관부처인 방송통신위원회와 겹친다. 정보통신망 이용촉진 및 정보보호 등의 관한 법률에도 아직 개인정보와 관련된 조항이 남아 있으므로 이중규제가 나타날 가능성이 높다는 점을 전문가들은 지적한다. 또한, 폐해를 막기 위한 수단으로 고유식별번호인 주민등록번호의 원칙적 수집금지를 국가가 강제하는데, 제한적 본인확인제, 공직선거법상의 본인확인 의무, 게임산업진흥에 관한 법률에 따른 셧다운제, 각종 전자상거래법 등과 충돌한다는 의견도 있다. 즉, 본인확인을 전제로 하는 이러한 제도 하에서 개인 고유 식별번호의 취급 금지는 비용이 드는 대체수단을 강요하게 되어 사업자의 부담으로 작용하게 되는것이다.

4. 최근 개인정보 유출 사고와 개인정보 보호법

개인정보보호법 제정 전·후 인터넷과 관련된 개인정보 관련한 두 개의 중요한 사건이 있었다. 바로 넥슨 메이플 스토리 개인정보 유출사건과, SK커뮤니케이션즈 개인정보 유출사건이다. 위 두 사건은 유사점이 많다. 우선, 사업자가 고의·중과실에 의해 정보가 유출된 것이 아니고, 외부 해커들의 소행으로 개인정보가 유출되었다는 점과, 이 또한 지능형 지속가능 공격(APT : Advanced Persistent Threat, 이하 APT)이라는 신종수법을 통해 해킹이 이루어졌다는 점이다. APT는 특정한 서버를 공격하기 위해 기술적인 측면뿐만 아니라, 사회공학적인 방식을 활용한다. 기술적 장치로 보안 장치를 마련하였더라도, 이를 회피하기 위해 커스터마이징 된 프로그램을 사용한다. 따라서, 감염경로를 파악하기 어려울 뿐만 아니라, 심지어 정보가 유출되었는지도 파악하기 어려운 경우가 많다. 이런 경우 정보보호책임자의 책임이 문제가 된다.

(1) 넥슨 메이플 스토리 개인정보 유출 사건

넥슨은 국내 온라인 게임 매출 1위 회사로, 카트라이더, 메이플 스토리 등 다양한 게임을 공급하고 있는 업체이다. 2011년 11월 18일 넥슨이 제공하는 RPG 게임 메이플 스토리의 백업서버의 해킹을 통해 1,320만명의 이름, ID, 주민등록번호, 비밀번호 등의 개인정보가 유출되는 사건이 벌어졌다.

위 사건은 외부의 공격으로 컴퓨터의 관리자 권한을 획득할 수 있는 2개의 커스터마이징 된 백도어 프로그램이 침투하여 해킹이 이루어 진 것으로 밝혀졌다. 넥슨은 이를 2011년 11월 24일 발견하고, 정보주체에 통보하고 주무관청에 신고하였다.

개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 여부에 대한 조사가 시작되었다. 경찰은 2012년 6월 7일 넥슨측이 법률상의 기술적 의무를 다하지 않은 것으로 보고 기소의견으로 사건을 송검하였다. 넥슨의 혐의는 공인되지 않은 자체 백신을 사용한 것과, 외부침입감지시스템 등을 시제품을 사용하여, 기술적 보호의무를 다하지 않은 것이었다. 제정 개인정보보호법 시행령 30조 1항 5호에서도 기술적 조치중의 하나로 개인정보에 대한 보안프로그램 설치 및 갱신을 의무로 하고 있고, 행정안전부 고시 「개인정보의 안정성 확보조치 기준」 제9조도 “개인정보처리자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며” 로 규정함으로서 백신 소프트웨어의 사용을 강제하고 있다. 하지만 일각에서는 사업자에게 공인된 백신 프로그램을 사용하라고 강제하는 것은 지나치게 제약적이며, 보안의 측면에서도 알려진 프로그램을 사용하는 것이 오히려 해커들에게 약점이 노출될 수 있음을 지적한다. 또한 본 사건과 같은 APT 공격의 경우 커스터마이징 된 해킹 프로그램의 침투를 통해 이루어지므로 공인된 백신 프로그램의 설치로서 개인정보 유출을 막기 어렵다는 점도 고려되어야 할 것이다. 관련 수사는 아직도 진행 중이므로 향후 검찰과 법원이 관련 부분에 대해 어떠한 결정을 내릴지 주목할 필요가 있다.

(2) SK커뮤니케이션즈 nate.com 개인정보 유출사건

SK커뮤니케이션즈는 국내 3위 포탈업체로 nate.com 뿐만 아니라 소셜 네트워크 기반의 싸이월드 서비스를 운영하는 업체이다. 2011년 7월 26일 네이트 및 싸이월드 서버가 해킹을 당하여 회원 전체 3,500만 명의 개인정보가 유출되었다. 유출된 정보는 주민등록번호, 실명, 혈액형, 비밀번호 등의 모든 개인정보였다.

이후 수사에 따라 밝혀진 바에 의하면 SK커뮤니케이션즈의 사건은 해커들이 유명 압축 해제 프로그램을 제작하고 있는 이스트소프트의 업데이트 서버를 해킹하여 자동으로 해킹프로그램이 깔리도록 하였고 SK커뮤니케이션즈의 일부직원들이 이에 감염되어 해킹이 된 것으로 밝혀졌다. 이 프로그램들은 SK커뮤니케이션즈의 사무실에서만 동작하게 설계되어 있었다고 한다.

본 사건은 개인정보보호법 시행 이전에 발생한 사건이고, SK커뮤니케이션즈는 기술적 보호조치를 한 것으로 알려졌다. 하지만 형법적 책임이 아닌 민사적 책임이 있을 것인가에 대해서 아직도 논란이 있다. 개인정보가 유출된 정보주체 중 일부는 집단 소송 모임을 만들고, SK커뮤니케이션즈를 상대로 소송을 제기하였다. 그 중, 대구지법 김천지원 구미시법원은 4월 26일 네이트 회원이 위자료 300만원을 지급하라며 제기한 약식재판에서 원고 일부승소판결을 하여 100만원을 지급할 것을 결정했다.

하지만 이 재판 결과가 향후 상급심이나, 유사 사건에서 지켜지지 않을 것이라는 반론도 만만치 않다. 개인정보 유출로 발생한 정신적 피해를 산출하기 어려울 뿐만 아니라, 해킹의 경우 사업자의 고의·과실을 증명하기 어렵기 때문이다.

현행 개인정보보호법에서 단체 소송은 도입하였지만, 재산적·정신적 손해에 대한 단체소송은 도입되지 않았다. SK커뮤니케이션 사건이 개인정보 보호와 관련하여 중요한 이유는 외부의 해킹 공격 혹은 APT 공격에 대해 사업자의 정보주체에 대한 민법상 책임이 있는지에 대한 판단의 기준이 될 수 있기 때문이다.

(3) 소결

최근의 개인정보 유출사건은 APT와 같은 사회공학적인 방법과 우회적 방법을 통한 해킹을 통해 주로 발생하고 있다. 개인정보가 중요해지고, 기업도 개인정보의 중요성에 대해 인식하면서 의도적인 침해보다 외부의 해킹에 의한 유출이 빈번히 발생하고 있다. 앞서 소개한 넥슨 사건과 SK커뮤니케이션즈 사건은 모두 APT 유사 공격에 의한 해킹시도로 볼 수 있고, 넥슨 사건은 형사적 측면에서 SK커뮤니케이션즈 사건은 민사측면에서 그 중요성이 있다. 두 사건 모두 진행 중인 상황으로 결과를 예측할 수 없다. 하지만 위 두 사건의 결론은 개인정보 보호와 관련하여 많은 시사점과 변화를 줄 것으로 예상된다.

저자 : 나현수

한국인터넷자율정책기구 정책팀 팀장 (* E-mail. nahs@nahs.pe.kr), "자유롭고 열린 인터넷 세상을 꿈꿉니다."