[정보통신 미래모임]개인정보보호와 대응전략

　‘그 어떤 기업이나 단체도 개인정보 유출로 생존권을 위협을 받을 수 있다.’

　전자신문이 주관하는 ‘정보통신 미래모임(회장 정태명 성균관대 교수)’은 지난 23일 서울 역삼동 삼정호텔에서 ‘개인정보보호와 기업의 대응전략’라는 주제로 4월 정기 토론회를 열고 이 같은 내용의 주제 아래 다양한 의견을 나눴다.

　이날 미래모임에 참여한 산·학·연의 주요 인사들은 그동안 한국사회가 전반적으로 개인정보보호에 대해 부주의했기 때문에 개인정보를 보호하는 데 기업과 정부가 총력을 기울여야 한다면서, 이를 위한 대응 전략에 대해 논의했다. 또한 개인정보를 보호하기 위한 대책이 고의가 없는 기업에게도 지나치게 큰 책임을 물어 이것이 다시 사회적 부담으로 작용하는 일은 막아야 한다는 데 의견을 같이 했다.

　주제발표에 나선 구태언 변호사는 “어느새 기업의 CEO가 가장 먼저 고려해야 할 위협 요소 중 하나로 정보보호가 떠올랐다”며 “정보통신 사업자가 아니라고 할지라도 누구든지 개인정보보호의 책임을 져야 할 수 있는 만큼 정부와 기업 모두 대응전략을 고민해야 한다”고 말했다.

　◇누구든 위법 기업이 될 수 있다 = 이날 모임에서 20여 명의 산·학·연 인사들은 개인정보와 관련된 법률에 대한 정보를 공유하고, 모두가 제 2의 ‘옥션’이 될 수 있다는 사실에 대해 논의했다.

　정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 망법)에 의해 개인정보를 보호해야 하는 사업자는 전기통신사업자와 전기통신역무를 이용해 정보를 제공하는 자다. 이 조항 때문에 인터넷 서비스 기업이나 통신사업자들이 이 법률에 해당 기업이라고 대부분 생각하고 있다.

　그러나 망법과 시행령은 준용사업자라는 규정을 통해 여행업자·항공운송사업자·학원등교습소·휴양콘도미니엄업자·할인점백화점·체인사업자 등도 규제하고 있다. 다시 말해 할인마트에서 고객정보를 수집했다가 유출됐다면 이것 또한 망법에 의해 형사처벌 받을 수 있다. 뿐만 아니라 관련 업무 수탁자에 의해 개인정보가 유출되더라도 책임은 위탁한 사업자가 져야 한다.

　일례로 지난 해 서비스센터 상담직원 PC가 악성코드에 감염돼 7000명의 정보가 유출된 사건이 있었으며, 이 또한 소송의 대상은 업무를 맡긴 사업자가 됐다. 이는 인터넷쇼핑몰 기업이 제휴한 택배회사에 의해 정보가 유출됐다고 해도 정보 수집 당사자인 인터넷쇼핑몰 기업이 책임을 져야 한다는 뜻이다.

　이외에도 공공기관의 개인정보 보호에 관한 법률은 공공기관이 개인정보를 보호해야 할 책임을 규정하고 있다. 이 두 법률에 의해 적용받지 않은 사업자들도 올 말부터는 개인정보보호 책임으로 부터 자유로울 수 없다. 행정안전부는 연내에 민˙관을 아우르는 개인정보보호법 제정을 추진하겠다고 밝힌 바 있다. 비디오대여점과 같은 오프라인 사업자나 동호회 같은 비영리단체 또한 개인정보를 수집했다면 이에 대한 보호 책임을 진다는 뜻이다.

　◇기업의 대응전략은 = 해킹에 의한 개인정보 침해가 날로 늘어나는 만큼 아무리 정보보호에 대한 주의를 기울인다고 해도 정보가 유출될 가능성은 존재한다. 한 게임사의 명의도용사건에서는 10만원의 손해배상액이, 채용사이트가 해킹당해 입사지원사가 유출된 사건에서는 열람된 당사자들에게 70만원의 손해배상액이 책정된 바 있다.

　피해자 숫자에 따라 손해배상액은 천문학적인 숫자가 될 수밖에 없다. 게다가 기업인들은 형사처벌까지 감수해야 하는 사태가 벌어진다. 기업이 이를 제대로 대처하지 않는다면 기업은 ‘도산’의 위협까지 떠안아야 한다. 이러한 사태를 막기 위해서는 우선 개인정보 유출 여부를 점검하고 정보통신시스템의 법적 적합성을 검토해야 한다는 의견이 나왔다.

　또한, 개인정보보호전담조직을 설치하고 임직원의 개인정보 유출 여부도 자체적으로 점검해야 한다는 것도 대응책으로 제시됐다.

　송문숙 이지넷소프트 대표는 “해킹이라는 것은 아무리 막으려고 노력해도 있을 수 있는 일”이라며 “막는 것도 중요하지만 일이 막상 발생했을 때 수습하는 것도 더없이 중요한 문제”라고 말했다.

　이에 대해 구태언 변호사는 “해킹 사고가 났을 때 축소하거나 은폐하는 데 급급한 경우도 있고 자체 조사를 하다가 증거 훼손으로 오히려 불리한 법적 문제를 야기할 수 있다”며 “우선 추가사고방지를 위한 응급조치를 한 후 사고개요를 파악하고 피해규모를 산정해 체계적인법적 대응절차를 마련해 가야 한다”고 조언했다.

　성선제 한남대학교 교수는 “여러 선진국에서는 신입사원과 개인정보 담당자들을 대상으로 반드시 심리테스트를 하고 있다”며 “외부 해킹을 막는 것 만큼이나 내부 인력을 관리하는 것이 중요하다”고 말했다.

　◇사회적 책임 분산제도의 도입 필요 = 정보통신시스템의 허점을 파고드는 해킹 피해는 완전히 막을 수 없다는 점에서, 기업이 최선의 노력을 했는데도 불구하고 천문학적인 금액을 배상해야 한다면 기업 활동이 위축될 것이라는 우려가 쏟아졌다. 이러한 점에서 기업 활동을 보장하고 위험을 분산하기 위한 사회적 제도를 연구할 필요가 있다는 의견이 모아졌다.

　임수경 LG CNS 상무는 “외국과 달리 우리는 법률 단 한두 줄에 의해 모든 상황을 포괄하고 있다”며 “교육과 노력을 해오고 있음에도 불구하고 가해자라는 오명까지 입어야 한다면 산업까지 위축될 것이기 때문에 이를 감안한 합리적인 안을 만들어야 한다”고 말했다.

　김성수 서오텔레콤 대표는 “집단소송 제도까지 도입한다면 예기치 못한 기업의 피해가 속출할 것”이라며 “손해배상을 노리고 이를 악용하는 사례가 나오는 것도 막아야 한다”고 주장했다.

　이제호 성균관대 의대 교수는 “우리나라는 주민등록번호처럼 국가권력이 정보를 효율적으로 얻는 방법을 하나둘씩 만들어 놓다보니 지금에 이르렀다”며 “너무 편리하게 수집할 수 있도록 하는 것을 막아 사회적 위험을 줄여야 한다”고 말했다.

　물질적인 피해를 봤을 경우에 손해배상을 청구할 수 있도록 해야 한다는 주장도 나왔다.

성선제 한남대 교수는 “유럽의 경우 물질적인 피해를 봤을 경우에 한해 손해 배상을 청구할 수 있도록 규정한 바 있다”며 “기업이 망하면 그 피해는 다시 사회로 돌아올 것”이라고 말했다.

　◇주제발표 - 개인정보보호와 기업의 대응전략 : 구태언 변호사(김앤장 법률사무소)

　기업활동은 고객을 기반으로 이뤄진다. 그래서 고객 DB가 없이는 기업활동이 불가능하다. 개인정보란 망법에서 성명이나 주민등록번호는 물론 개인을 알아볼 수 있는 부호나 문자·음성·영상 등을 포함하고 있다. 매우 포괄적인데다 형사처벌을 규정하면서 ‘걸면 걸린다. 걸리면 죽는다’라는 말이 나올 정도다. 사업을 할 때 개인 정보에 대해 고려하지 않으면 처벌받을 수 있다는 것은 바로 이 때문이다.

　우선 정보통신망법에 적용받는지 안받는지를 알아야 한다. 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자라는 규정때문에 통신을 이용한 서비스를 제공하고 있으면 모두 망법에 해당된다. 게다가 준용사업자라는 규정을 도입하면서 범위가 매우 넓어졌다.

　오히려 통신사업자들은 대비를 많이 했지만, 준용사업자들은 자신이 규제 대상인지도 모르는 경우가 많아 문제다. 오프라인 사업자 등은 망법에 적용된 사업자들이 미리 매를 맞는 동안 남의 일로 생각했겠지만 올해 말부터는 모두 적용대상이 될 것이다. 행안부가 모든 민간 사업자와 민간 연구기관 비영리단체까지 개인정보 문제가 법에 의한 규율을 받도록 준비 중이기 때문이다.

　개인정보를 수집할 때 목적 등에 대해 제대로 고지하지 않으면 처벌된다. 통신 서비스에 사용한다고 하고 계열사 다른 상품을 소개하면 목적 위반이 되는 것이다. 수탁업체라는 개념이 있는데 여기서 발생하는 문제도 책임을 져야 한다. 또, 해킹을 당하면 기술적 관리적 조치가 미비했다고 처벌받고 있는데, 실질적으로 거의 예외없이 1000만원의 벌금을 받고 있다.

　동의나 목적을 달성한 이후에는 즉시 개인정보를 파기하도록 되어 있지만 이를 어겼을 경우에도 형사처벌 대상이 된다. 최근 모 통신사 사건의 경우가 파기를 불이행하고 다시 고객을 재유치하는 데 썼던 것 때문으로 추정된다.

　기업 입장에서는 너무하다고 생각할 수 있지만 고객 정보는 너무 중요한 것이다. 명의 도용에 의한 요금대납, 인터넷뱅킹 해킹되서 거액 인출되는 사건도 봤다. 이런 위협이 커지다 보면 작은 잘못도 용납하지 않게 될 것이다.

　고객을 많이 보유하고 있는 것 자체가 이제 부담인 시대가 됐다. 어느 단체에 의한 조사에 따르면, 침해사고 발생시 기업 이미지가 평균 25% 하락하고 기업매출액 역시 12.2%가 떨어진다고 나왔다. 기업은 이제 신상품을 도입하거나 위탁할 때 법률 이슈가 있는지를 검토해야 한다. 만약 해킹사고 발생하면 응급조치하고 사고 개요를 파악하는 게 핵심이다.

　기술적 원인을 파악하는 것은 중요하지만 이것이 법적으로 어떤 영향을 미칠 것인지는 엔지니어가 파악할 수 없다. 정밀 피해를 분석해야 나중에 소송이 들어와도 대처가 가능하다.

　◇패널발표 : 성선제 한남대학교 법과대학 교수

　잇따라 정보보호 관련 사건이 터진다면 법·규제·시스템 환경이 모두 바뀌는 기폭제가 될 것이라고 연초에 논의한 적이 있다. 지금이 바로 그런 시점이다.

　최근 미국에서 열린 국제프라이버시전문가협회(IAPP) 정기총회에 참석했다. 이곳에서 의회 전문가들조차도 ‘미국은 개인정보 규제의 바다에 빠졌다’라는 표현을 쓸 정도로 핫이슈다. 미국의회에 제출된 정보보호 관련 법안만 50개가 넘는다고 한다. 21세기 개인정보는 기업에게 필수품이 됐으며, 동시에 위협 요소가 될 수 있는 양날의 칼이 됐다. 이를 민간에만 맡겨서는 안된다고 판단한 것 같다.

　어떻게 하면 21세기에 개인정보보호를 충실하게 할 수 있을까. 선진국들은 의료·쇼핑·인터넷 등 산업별로 공통적으로 적용되는 프라이버시 매뉴얼을 만들어 사용하고 있다. 그 중 한 예가 신입사원 채용 때 심리검사를 적극적으로 하는 것이다.

　지나칠 만큼 적극적으로 남에게 관심을 표현하는 사람은 경우에 따라서는 기업 내부에서 정보보호 사고가 될 수 있는 유력한 용의자가 되기 때문이다. 기업의 신뢰도를 알리기 위해서도 정보보호 자격증 취득자를 채용하고 있었다. 자격증을 취득하면 월급을 15% 인상하고 승진 우선 혜택을 주는 등의 우대 정책을 통해 자격증 취득자를 모집하고 있었다.

　두번째로 소송은 어떤 방향으로 갈까를 다른 나라를 통해 미리 예측해 볼 수 있다. 미국의 경우 어떤 사건에 대해 합의명령을 할 때 가장 크게 고려하는 요소가 얼마 만큼 침해위협의 회피노력을 했느냐이다. 일반적으로 1인당 1만 1000달러를 규정하는데 기업이 최선의 노력을 한 것은 감안해 주고 있다. 다시 말해 최선의 의무를 다 했는데도 불구하고 당했다면 생존할 수 있지만 그렇지 않은 경우 생존할 수 없다.

　세번째로 개인정보 침해사건이 벌어진 옥션 사건을 보면 이런 사건은 앞으로 어떻게 될까 궁금증이 생긴다. 이번 사건은 전 사회의 밀알이 될 것으로 보인다. 기업입장에서는 개인정보만 치중해서 생각하면 어떻게 사업하냐고 생각할 수 있지만 이것은 미시적인 사고이다.

　미시적으로 이번 사건은 큰 위험이고 손해이지만 거시적으로 보면 개인정보보호에 대한 인식이 높아지고 인력 충원되는 기초가 될 것이다. 혹자는 개인정보는 기업의 발목을 잡는 것이 아니라 기업이 고속으로 달리는 자동차에 고성능 브레이크가 달리는 것이다라고 표현하기도 했다.

　다시 말해 과속을 견디지 못하고 스스로 멸망하는 것을 막는 장치라는 것이다. 기업이 대응전략을 세울 때 지금 다시 한번 유념해야 한다.

　 문보경기자 okmun@