개인정보보호의 이슈는 무엇인가

인터넷을 이용하다 보면 회원가입을 해야 하는 일이 1주일 혹은 한달에 한 두번 쯤은 있기 마련이다. 쇼핑몰이나 채팅사이트, 무료 웹메일 등 종류에 상관없이 대부분의 사이트들이 회원가입을 으레 요구하게 때문. 과거에는 유료사이트에서만 회원가입을 해야 했지만 최근 들어서는 대부분의 무료사이트들도 의무사항으로 채택하고 있다.

회원가입을 요구하는 인터넷 사이트에서는 대부분 다음의 사항을 필수적으로 요구한다. 가입자의 이름, 주민등록번호, 성별, 주소, 전화번호, 휴대폰 번호 등이다. 이 밖에도 사이트 성격에 따라서는 주거상황, 금융자산 규모, 차량보유여부 등을 묻기도 한다. 보유하고 있는 재산의 상황을 알기 위해서다.

인터넷 발생 초기만 하더라도 회원정보를 공개함에 따르는 악이용에 대한 불안감 때문에, 회원가입 절차에 거부감을 갖고 있는 사용자들이 많았지만 인터넷이 완전 대중화된 최근에 이르러서는 거의 무감각해진지 오래다. 문제는 이와 같은 대량의 개인정보 유통이 불러올 파장이 만만치 않다는 데 있다.

◆ 개인정보도용 경계경보, e메일 피싱(Pishing)을 조심하라

우선 현재도 나타나고 있는 개인정보 유통의 부작용 중 가장 쉽게 찾아볼 수 있는 것이 스팸메일이다. 스팸메일러들이 메일주소를 획득하는 방법은 크게 두 가지. 첫번째는 홈페이지에 게재된 이메일 주소를 `이메일 주소추출기`라는 특수한 소프트웨어를 이용해 무작위로 확보한 다음 메일을 보내는 방법이고, 두번째는 성인사이트나 기타 중소 규모의 메일 데이터베이스를 돈을 주고 사거나, 무상으로 제공받아 사용하는 방법이다.

이렇게 확보된 메일 주소들은 성인사이트 홍보 등 다양한 목적으로 사용되며, 그 자체로 판매 대상이 되어 새로운 사업을 시작하려는 창업자들을 유혹하기도 한다. 아직까지는 이와 같은 개인 메일 주소의 광범위한 유통은 쏟아지는 스팸메일이나 바이러스 메일로 인한 고통을 주는 정도에 그치고 있지만, 무엇보다도 수집된 개인정보를 죄의식없이 유통하는 분위기를 조성한다는 점에서 문제가 있다.

바로 이러한 분위기를 이용한 부작용이 소위 `피싱`(Pishing) 사기다. `피싱`이란 `개인 정보(private data)를 낚는다(fishing)`는 의미의 합성어로 유명 사이트와 유사한 가짜 웹사이트에 고객이 접속해 로그인하고 고객정보를 입력하도록 유도하는 e메일 사기다. 지난해 미국의 은행업계와 전업카드 업체를 뒤흔들고, 뒤이어 일본에까지도 문제가 발생해 미국에서만 은행들과 전업카드사들이 총 12억 달러의 손실을 입었으며 약 6000만명이 사기 e메일을 받아 그 중 5%인 약 300만명이 개인정보를 입력한 것으로 알려지는 등 커다란 문제를 일으켰다.

국내에서의 개인정보 유출 가능성은 `주민등록번호` 때문에 더욱 높아진다. 13자리 숫자로 되어있는 주민등록번호는 대한민국 국민이면 누구나 소유하고 있고, 누구나 단 한 개의 번호만 갖고 있기 때문에 모든 데이터베이스의 식별자로 이용된다.

더구나 오로지 숫자로만 이루어져 있고, 생년월일과 남녀식별 구분자 등 몇가지 간단한 암호규칙에 의해 생성된다. 따라서 `주민등록번호 생성기`를 이용해 미성년자가 성인사이트를 가입하는 수단으로 이용하기도 하고, 또 다른 사람의 주민등록번호를 도용해 사기행위를 저지르는 사례도 심심치 않게 보이고 있다.

결국 개인정보 입력에서의 저항감이 줄어들고, 개인정보를 보유하고 관리하는 사업자와 인력도 많아지고, 그러한 변화에 부응하지 못하는 법과 제도로 인해 개인정보의 유출 문제는 더 이상 미룰 수 없는 국가적인 과제가 되었다.

◆ `잘 쓰면 약, 잘못 쓰면 독‘ 개인정보의 양면성

개인정보보보호와 관련된 문제의 밑바탕에는 법을 둘러싸고 개인과 기업, 정부 등 세 주체 간의 서로 다른 입장이 깔려 있다. 개인정보의 주체인 개인은 가급적 자신의 정보를 외부로 노출시키고 싶지 않다는 마음이 앞선다. 반면 개인정보를 다루고 수집하는 사업주체인 기업의 입장에서는 그 개인정보를 이용해서 조금이라도 더 이익을 창출해내려는 기업논리가 자리잡고 있다.

이처럼 개인과 기업의 이해가 상반되는 가운데, 국가의 입장은 이 두 가지 측면을 동시에 고려해야 한다. 우선 개인정보를 보유한 주체로서의 국가는, 그 정보를 적극적으로 이용할 필요성이 있다. 예를 들어 국가적인 업무 즉 범인 색출이나 교육정보처리(NEIS가 대표적이다) 등을 관리하기 위해서 정보를 이용해야 하기 때문이다. 이 측면에서는 사업자의 기업논리와 마찬가지로 보다 효율적인 시스템의 구축에 의해 정보를 최대한 빨리, 효율적으로 처리하려는 요구가 존재한다. 따라서 국가는 전자정부 구성 등을 통해 개인정보를 통합하고 효율적으로 이용하려는 지향을 갖게 된다. 이 때 각 공공기관이 각각 갖고 있는 개인정보를 통합적으로 관리할 경우, 접근권한을 제한한다고 하더라도 보건담당 공무원이 범죄관련 기록에 접근할 수도 있게 되는 등 오,남용의 위험도는 더욱 올라가게 된다.

다른 한편으로 국가는 개인정보를 보유한 국가기관이나 사업자로부터 개인의 권리가 침해당하지 않도록 보호해야 하는 측면이 있다. 이 측면에서는 각종 법과 제도에 의해 개인정보가 보호될 수 있도록 해야 하며, 이를 실행해야 한다. 민간기관간 개인정보의 불법적인 유통이나 오남용을 감시하고 감독해야 하는 의무가 있는 것.

◆ 개인정보보호, 불감증이 가장 큰 문제다

이처럼 다양한 시각으로 접근할 수 있는 개인정보보호 관련 이슈는, 아직까지 그 심각성이 수면 위로 부상하지 않고 있다는 것이 근본적인 문제다. 개인정보보호의 문제를 심각한 주제로 다루기 보다는, 불감증이 더욱 커지는 방향으로 진전되고 있는 것.

개인의 입장에서 보면 너무 많은 곳에 정보를 노출시키고 있다는데 원인이 있다. 회원가입뿐 아니라 인터넷 사이트 등 워낙 다양한 곳에 자신의 기본정보를 노출시키고 있어 설사 문제가 발생하더라도 어디서 문제가 발생했는지 알 수가 없다. 금융정보만 하더라도 인터넷 뱅킹을 두어군데 은행과 카드사에서만 개설해 뒀어도 어디서 어떻게 정보가 새나갈지 알 수가 없다. 비록 인증서에 의해 보호받고 있다고는 하지만 가정의 PC와 회사 PC에 인증서를 설치해 두고 있고, 인증서 암호도 기억하기 쉬운 암호가 대부분인 현실에서는 암호가 어디서 샜는지 짐작을 할 수도 없다.

이러다 보니 일종의 정보공개 불감증이 안 생길 수 없다. 내 정보를 공개하고 싶지 않은 심정적인 의지는 분명히 있으나 주위의 현실이 내가 정보를 공개하지 않으면 안되도록 몰아가는 것이다.

또한 사업자의 입장에서도 정보보호 불감증은 피할 수 없는 현상이다. 대기업의 경우는 그나마 문제가 생겼을 경우 사업자체에 치명적인 영향을 미칠 수 있기 때문에 다소 신경을 쓰는 편이지만, 소규모 사업자나 성인웹사이트 운영자의 경우 개인정보보호와 이윤추구 둘 중의 하나를 선택하라면 이윤추구를 선택하기 십상이다. 워낙 많은 사업자들이 개인정보를 수집하고 있기 때문에 나 하나 잘못했다고 해서 쉽사리 종적을 잡히지 않으리라는 판단을 할 수 있고, 실제로도 그렇기 때문이다.

정부적 차원에서는 정보보호의 문제는 편의 추구가 가장 큰 불감증의 원인이다. 즉, 행정전산망, 경찰청이나 NEIS 등 각 국가기관별로 갖고 있는 개인의 정보는 대부분 주민등록번호라는 단일한 데이터베이스 영역을 중심으로 쉽게 통합될 수 있다.

따라서 전자정부의 구성, NEIS 시스템의 구축 등 국가적 사안의 정보시스템을 구성할 경우 쉽게 통합에의 유혹을 갖기 쉽다.

또한 국가가 갖고 있는 개인정보를 고유의 업무가 아닌 곳에서 활용하려는 유혹도 또한 존재한다. 예를 들어 경찰청의 아는 사람에게 채무자의 집주소를 알려달라든 지 하는 흔히 생각할 수 있는 정보의 누출이 가능할 수 있다. 물론 이러한 정보의 유출에 대해서는 이미 각종 법규정에 의해 제재를 받고 있지만, 아직까지는 제도적 장치의 강도는 약한 편이라고 할 수 있다.

결국 이 같은 정보보호에 대한 불감증은 제도적 장치에 의해서 강제력에 의해서 치유할 수 밖에 없다. 또한 이러한 제도적 장치는 정보보호에 관한 세 주체간 치열한 논의를 통해 합의되어야 한다. 정보를 지켜야 하는 개인이나, 정보를 이용하려는 사업자나, 정보를 지켜야 하는 정부기관이 불감증을 기반으로 제도적 장치를 만든다면 제도 자체가 정밀하고 엄격할 것을 기대하기 힘들기 때문이다.

◆ 누가 개인정보보호의 감독기관이 될 것인가.

현재와 같은 상황에서 국가적인 차원에서 법적인 제도를 만들고 그 제도를 강제력있게 집행할 수 있는 감독기관의 존재는 필수적이다.

감독기관을 누가 어떻게 할 것이냐를 둘러싸고 정통부와 행자부, 시민단체의 입장이 엇갈리고 있다. 정통부는 의료와 금융을 포함해 민간분야를 포괄적으로 다루는 감독기관의 설립을 추진하고 있으며, 행자부는 현행 개인정보보호심의위원회를 강화하려는 움직임을 보이고 있다. 또한 시민단체에서는 정부기관으로부터 독립된 개인정보보호 위원회의 설립을 주장하고 있다.

얼핏 보아 개인정보와 관련된 각 부처의 알력싸움으로 볼 수도 있지만, 보다 근본적으로는 엄격한 감독기관의 존재가 왜 필요하고 그 감독기관은 어떤일을 해야 하는가의 문제가 더 중요하다.

현재까지 공공기관의 개인정보보호는 행자부에 의해, 정보통신 관련 사업자의 개인정보보호는 정보통신부가 각각 따로 담당하고 있는 상황이다. 앞으로 한 개의 강력한 기관이 추진주체가 될 수도 있고, 아니면 그 기능을 분야에 따라 적절하게 분산해 여러 곳의 기관이 담당할 수도 있을 것이다. 다만, 복수의 기관이 관장을 하게 된다면, 그 기관간의 관리 영역을 명확하게 하고 법규상의 충돌이 일어나지 않도록 조정을 하면 될 것이다.

분명한 것은 어떤식으로든 감독기관의 존재는 필수적이고, 그 감독기관이 무엇을 해야 하는지를 명확하게 해야 한다는 점이다. 감독기관이 현재처럼 형식적인 수준에서 각급 기관과 민간사업자에게 개인정보보호 담당자나 관리규정을 두는 것만으로는 부족하다.

향후 기술적 진보와 개인정보의 활용정도에 따라 현재로서는 불거지지 않은 새로운 문제들이 발생할 것이 쉽게 예상되고, 이를 그때 그때 법률로 따라잡기는 힘들것이다. 따라서 이들 감독기관의 역할은 이러한 기술적 진보에 따라 법률이 해결하지 못하는 부분을 대처하고 조정하는 업무를 담당하게 되어야 하고, 결국 강력한 조정권한을 갖게 되는 것이 중요하다 할 것이다.

◆ 개인정보보호, 범국민적인 관심이 필요하다

아직까지 본격적인 이슈로 등장하지는 않고 있지만, 한국에 특수한 상황인 주민등록번호의 문제는 개인정보보호 문제에서 핵심적인 문제중 하나이다.

왜냐하면 주민등록번호는 13자리의 숫자에 의해 그 자체로도 그 사람의 성별, 연령, 출생지 등을 쉽게 알 수 있도록 하는 요소가 될 뿐 아니라, 공공기관들 대부분의 정보(자동차, 주소, 호적, 부동산, 교육, 보험 등)가 주민등록번호에 기초하여 구성되어 있다.

전 국민에 대해 평생에 걸쳐 유일하게 부여하는 번호로 모든 정보처리에서 식별자가 되기 때문이다. 따라서 최근 추진되고 있는 전자정부도 결국 주민등록번호에 의해 토대가 이뤄지고 있음을 부인할 수 없을 것이다.

주민등록번호만 있으면 국내에 존재하는 모든 데이터베이스는 간단한 기술적 조작만으로 쉽게 통합이 가능하다. 쉬우면 아무리 강력한 제도적 장치가 있다고 하더라도 편의를 위해 통합되기 쉽고, 분리되어 있을 때는 위험요소가 없는 것도 일단 통합되면 위험의 정도는 높아질 수 있기 마련이다. 자칫하면 공적으로는 주민등록번호가 인간바코드로 발전할 가능성이 높고, 민간 차원에서는 쉽게 타인의 정보를 악용할 수 있는 수단이 될 수 있다.

좀 앞서나가는 논의가 될 수 있지만, 모든 개인정보의 관리에 있어서 주민등록번호를 식별자에서 제외하고 공인인증서 등에 의해 이를 대체하는 것도 검토해볼만한 문제다.

특히 최근들어서 `주민등록번호 생성기`에 의해서 간단히 타인의 주민등록번호를 도용할 수 있는 상황에서는 더욱 시급히 논의가 진전되어야 한다.

이같이 개인정보보호의 문제는 IT 강국으로 올라선 한국사회와 구시대에 구축된 제도간에 발생하는 심각한 괴리에 의해 발생하는 것이다. 문제는 이렇게 심각한 이슈가 IT 발전의 고속화에 따른 불감증에 의해 제대로 논의되지 않고 처리되고 있다는 점이다.

다행히도 아직까지는 금융거래상의 문제 등 사회근간을 흔들 수 있는 사건이 발생하지 않았기 때문이기도 하겠지만, 언제 어느때 `소잃고 외양간 고치기`식 논의가 일어날지 모르는 위험성을 안고 있는 상황이기도 하다.

따라서 최근 추진되고 있는 개인정보보호법의 문제는 소수 정부기관과 학자, 시민단체에서 토론되고 처리될 일은 아니다. 전체 국민의 합의에 의해 충분히 논의되고 검증되어서 국민의 정보보호가 오용되지 않을 수 있도록 처리되어야 할 것이다.


브랜드 뉴스룸