[안전한 디지털 사회의 시작, 개인정보보호 특별좌담회]

한국정보산업연합회(회장 윤종용)와 전자신문은 27일 오전 서울 소공동 롯데호텔에서 정보보호 전문가 6명이 참석한 가운데 ‘안전한 디지털 사회의 시작-개인정보보호’를 주제로 정보보호 특별 좌담회를 개최했다. 이날 좌담회에서 참가자들은 최근 발생한 연예인 X파일 문서 유출 사건이 개인정보의 관리와 오남용 피해의 단면을 여실히 보여주고 있다고 입을 모았다. 또 개인정보에 대한 요구는 급증해 공공, 민간 부분을 막론하고 개인에 관한 정보가 수집 관리되고 있으나 관리 및 기술적 문제로 정보 유출과 오남용에 대한 대책 마련이 시급하다고 지적했다. 참석자들은 개인정보보호기본법의 조속한 제정과 함께 하위 기관의 개별법 마련을 촉구했다.

　◇양승욱(사회·전자신문 컴퓨터산업부 부장)=최근 연예인 X파일 유출 사건에서 보듯 우리 사회에 개인정보보호와 프라이버시 보호 문제가 관심사로 대두했다. 다행스럽게도 국회에서 개인정보보호기본법을 만들기로 합의하는 등 입법화 움직임이 나타나고 있다. 정보화 강국으로 안전한 디지털 사회를 만들기 위한 개인정보보호 문제 해결 방안을 모색해 보자

◇박노철(SK텔레콤 상무)=최근에는 다행스럽게도 개인정보에 대한 관심이 높아져 이에 대한 의견을 나타낼 수 있는 자리가 많아졌다. 그러나 아직도 기업들은 어떤 정보를 어떻게 수집하고 이를 어떻게 관리하는가에 대한 가이드라인이 없다. 또 이동통신사의 정보보호에 적용되는 ‘정보통신망이용촉진및정보보호등에관한법률’과 정부혁신위에서 추진 중인 개인정보보호기본법 사이에 상충하는 문제가 발생하는 등 이에 대한 정리가 필요한 시점이다.

◇임종인(고려대 정보보호대학원장)=미국과 유럽의 여러 나라는 이미 프라이버시권을 기본권의 하나로 인식하고 있다. 경제협력개발기구(OECD)의 ‘개인정보처리와 자유로운 유통에 관한 개인정보보호 지침’ 등을 통해 세계 각국은 상당한 수준의 개인정보보호를 권고하고 있다. 이런 지침에 따라 선진국들은 각 나라의 신용도를 평가하는 잣대로 이용하고 있으나 우리는 이에 대한 대처가 매우 느리다. 특히 금융이나 의료 부분의 프라이버시와 관련해 규정이 강한데 EU는 형법적으로 접근하고 미국은 자율을 내세우나 민사소송으로 넘어가서 실질적인 피해를 보상해야 한다. 미국은 규제를 하는 것보다 정보보호에 대한 투자를 유도하고 있다. 이런 세계적인 상황에 대처를 서두르지 않으면 국내 기업들의 해외 진출에 어려움이 있을 것이다.

◇양승욱=개인정보보호 유출은 단순히 인터넷에 의한 피해 사례만 있는 것은 아니다. 기업이나 기관들이 보호해야 할 개인 정보보호들이 어떤 것들이 있는지, 정보보호를 하기 위해 기업이나 정부의 노력이 어떤 것이 있는지 논의해보자. 또 이런 정보보호가 창의적인 기업활동을 규제하는 족쇄가 되지 않는지 검토해보자.

◇이홍섭(한국정보보호진흥원 원장)=현재는 개인정보에 대한 피해가 발생했을 때 조정이나 구제, 처벌할 수 있는 법은 정보통신망법밖에 없다. 물론 개인정보보호기본법을 만들고 각 분야별로 하부 규정을 준비하고 있다. 하지만, 법을 만들더라도 개인의 프라이버시를 보호해야한다는 의식이 있어야 한다. 은행, 병원 등에서 개인정보 사고가 발생하고 있으며 이번 제일기획 사건이 그 피해를 여실히 보여주고 있다. 일반 제조업의 경우 새로운 공장을 만들려면 환경영향평가를 받는다. 이런 것과 마찬가지고 고객이나 개인의 정보를 수집하고 이를 활용하는 기업들이 사전에 영향평가를 받아서 일반 국민에게 어떤 영향을 줄 것인가에 대한 단계를 밟아야 한다.

◇박노철=정보통신망법에 이런 내용이 명시돼 있다. 일부 고객들은 이런 내용을 KISA에 고발하고 조정하는 경우가 있다. 그러나 무엇보다 기업 내에서는 프라이버시와 개인정보보호에 관해 공감대를 형성하는 것이 중요하다. 법이나 절차보다 기업 내부 사람들 간의 공감대를 형성하는 것이 제일 어렵다.

◇정재동(한국증권전산 본부장)=금융기관들은 갖고 있는 계좌정보도 중요한 개인 정보다. 이 정보 자체가 재산이다. 금융거래 실명법이 시행되면서 금융기관이 직접 처벌을 받는 구조로 변했다. 그러나 2000년 대 들어오면서 금융기관은 백신이나 방화벽 구축 등 물리적 보안은 물론 정보보호를 지침화했다. 그럼에도, 개인정보를 보호하는데 가장 큰 문제는 역시 공감대 형성이다. 이제 개인정보보호 유출에도 사회적 재해라는 단어를 써야한다. 개인정보보호 체계가 잘못돼 유출되면 엄청난 파장이 일어난다. 관계기관이나 개인까지 피해가 확산 된다. 이것은 사회적 재난이다.

◇권태승(한국정보산업연합회 상근부회장)= 광의에 의한 법보다 점진적으로 해나가야 한다. 개인정보보호법은 비즈니스 상의 엄청난 제약과 낭비로 나타날 수도 있다. 단체와 공공기관이 이런 문제에 대해 심도 깊이 논의해야 한다.

◇임종인= 최근 기업들의 윤리경영이 기업의 신뢰성 제고로 직결되고 있다. 기업이 고객의 정보를 보호하지 않으면 기업의 신뢰가 깨진다. 이것은 또 하나의 사업 기회를 제공한다고 본다. IBM은 스위스 취리히에 프라이버시리서치 센터를 설립하는 등 비즈니스 기회를 만들고 있다.

사전 영향 평가도 그렇고 프라이버시와 관련된 것들에 대해 모두 걱정하고 있다. 전자투표 시행에 앞서 유권자 정보가 유출되면 엄청난 파장을 불러올 수 있다. 아시아에서는 일본이 유일하게 세이프컨트리로 인정받고 있다. EU에서 볼 때 한국은 안전한 국가가 아니다. 앞으로 EU 기준에 맞는 개인정보체계를 갖춘 나라만 거래할 수 있게된다. 개인정보에 대한 엄격한 규범이 없는 우리는 우리의 주권을 포기하는 것이나 마찬가지인 상황에 놓이게 될 것이다.

◇양승욱=그럼 이번 개인정보보호기본법에 꼭 들어가야 할 조항이나 제도적 장치나 시스템은 어떤 것이 있는지

◇이홍섭=1000개 사업자를 조사한 결과 지난 2002년까지 개인정보보호에 관해 한 자리 수에 대한 투자를 했왔다. 이들은 2003년에는 45%, 2004 66%까지 개인정보보호에 대한 투자를 증가하고 있다. 이 결과를 보면 사업자들은 물리적인 투자가 아닌 소프트한 분야에 투자한 것을 알 수 있다. 바로 개인정보보호에 대한 인식을 높이는 투자를 한 것이다. 그러나 한자리 숫자에서 66%까지 오는데 5년이 걸렸다. 각 분야별로 차이도 심하다. 의료분야 같은 경우에는 사각 지대에 놓여있다. 기본법에는 이런 소외된 분야에 대해 형평적으로 법을 적용해야 한다.

◇박노철=우리나라 개인정보보호법에 그 정확한 정의가 있어야 한다. 기업의 입장에서 보면 정보보호에 과다하게 투자되는 문제를 제기하고 있다. 개인정보보호도 중요하지만 거기에만 투자하면 고객의 불편을 초래할 수 있어 이에 대한 고려가 필요하다. 또 데이터 활용에 대한 여지를 줘야한다. 현재는 타 사업과 정보 공유가 불가능하다. SK텔레콤의 정보는 고객에 대한 청구서 발송에만 사용해야 한다. 개인정보를 보유해 고객관계관리(CRM)에 이용하면 또 다른 정보를 제공할 수 있을 것이다. CP와 많은 서비스를 하고 있으나 인증만 하고 고객들에게 새로운 서비스를 제공할 수 있는 기회가 제한돼 있다. 사회적으로 틀이 갖춰지고 난 후에는 데이터를 활용해 고객 서비스 강화에 이용할 수 있도록 해야한다.

◇임종인=기본적으로 법을 만들 때 자율권을 주고 지키지 않았을 때 책임을 엄격하게 묻는 형태로 가야한다.

◇권태승=정보 유출은 해킹 등 외부인보다는 내부자 유출이 더욱 심각하다. 정보를 매개로 해서 일을 하는 사람들에게 윤리적인 책임 의식을 넣는 강제 규정을 넣을 필요가 있다. 이제는 기업이 얼마나 윤리적이고 개인보호가 잘 돼 있는가를 평가기준으로 삼아야 한다. 의무적으로 교육하는 부분을 법제화해야한다.

◇양승욱=법 이외에 개인정보보호를 위한 기관이나 기업의 활동도 중요하다고 생각한다.

◇이홍섭=KISA는 각 분야별 개인정보 가이드라인를 만들어 배포하고 있다. ISP, 무선 사업자들의 가이드라인을 만들었으며 RFID 프라이버시 보호 가이드라인을 구성하고 있다.

◇임종인=정통부 외에도 행자부가 공공기관 개인정보에 관한 법에 높은 관심이 있는 것으로 안다.

◇정재동=전자금융거래법이 2월 중 통과 예정이다. 온라인에 등장한 페이먼트게이트웨이(PG)나 사이버머니나 게임 머니 등 사이버 세상에서 돈과 연관된 것들이 움직인다. 그러나 이들 PG나 새로운 머니에서 문제가 발생할 소지가 높다. 개인정보보호 업무 측에서 보면 이번은 큰 기회다. 기본법에 수집자와 유통자에게 처벌규정을 강화하고 유통과 수집의 주체를 명확히 정의해야 한다.

◇이홍섭=전체 25만 개 온라인 사업자의 10분의 1에 해당하는 2만 5000개 사업자를 대상으로 개인정보보호 실태조사하고 실태를 바탕으로 이에 적합한 규제를 만들 생각이다. ISP는 물론 여행, 쇼핑몰 사업자 등이 모두 대상이다.

◇권태승=개인의 정보를 취급하는 사람에게 윤리적인 도덕심을 높이고 정보화사회로 가는데 신용사회를 구축하기 위한 캠페인을 하고 있다. 기업의 수익성뿐만 아니라 윤리를 많이 고려해야 한다. 법 외에도 개인정보보호 캠페인 등을 통해 국제사회에서도 신용을 한 단계 높이는 계기로 삼아야 할 것이다. 교육적인 차원에 대한 투자에 대한 혜택도 있어야 한다. 이를 준수하는 기업에 세제 혜택 등을 통해 촉진해야 한다.

◇박노철=고객 정보를 보호하기 위해 내부적인 투자와 정비, 온라인 교육, 방송 등을 강화할 것이다. 그러나 우려되는 것은 기업에서는 그것이 족쇄가 되는 일이 발생하지 않을까하는 것이다. 정보 유출 사건이 발생했을 때 집단소송이 가능해지면 기업에는 치명적인 족쇄가 될 것이다. 정보보호보다 소송에 치중하지 않는 형태가 바람직하다.

◇양승욱=개인정보보호는 기업에 규제적인 요인으로만 생각했는데 새로운 사업기회를 제공하는 측면을 제공하는 기능도 있다. 법 제정만으로 해결되는 문제가 아니며 교육과 의식의 전환의 문제가 가장 필요한 것 같다. 장시간 열띤 토론을 벌여 주신 여러분들께 감사드린다. 오늘의 이 토론이 개인정보보호의 제도화에 도움이 됐으면 하는 바람이다.　 정리=김인순기자@전자신문, insoon@