국내 정보 유출은 대부분 해킹

2016년 스마트폰 접근 권한 강화
3자 공유 동의 구해도 확인 못해
EU 5월 개인정보보호법 변수로

‘2011년 네이트(포털 사이트) 3500만명 개인정보 유출, 2012년 KT 873만명 가입자정보 해킹…’페이스북(페북)의 개인정보 유출 사태가 일파만파 번지자 우리나라에서도 이른바 ‘정보의 자기결정권’에 대한 관심이 급격히 커지고 있다. 정보의 자기결정권은 ‘내 정보를 스스로 결정할 수 있는 권리’를 말한다. 4차 산업혁명 시대 ‘디지털 인권’으로 이어지는 개념이다. 정보기술(IT) 최강국으로 불리는 우리나라에서 앞서 문제가 됐던 개인정보 유출은 대부분 해킹에 의한 것이었다. 하지만 고객 빅데이터의 중요성이 날로 높아지면서 페북 사태처럼 기업 간 개인정보 유출의 위험성이 심각해지는 추세다.

전문가들은 “우리나라의 개인정보 관련 법은 유럽에 비해 결코 낮지 않아 페북 같은 사태가 날 가능성은 일단 적다”면서도 “문제는 법 적용의 실효성 여부”라고 입을 모았다.

현재 개인정보 보호 관리는 방송통신위원회와 과학기술정보통신부가 개인정보보호법, 정보통신망법 등으로 나눠서 규제하고 있다. 원칙적으로 사용자의 동의가 없는 한 기업이 제3자에게 개인정보를 넘기는 행위는 불법이다. 주요 통신사와 금융사는 최고정보책임자(CIO), 최고보안책임자(CSO)를 지정해야 하고 문제가 생길 경우 이들에게 책임을 지운다. 2016년 개정된 정보통신망법은 스마트폰의 접근 권한에 대한 이용자의 동의권을 강화하는 등 한층 수위를 높였다. 방통위는 법규를 위반한 기업 대표자, 임원에 대한 징계를 권고할 수도 있다.

김승주 고려대 정보보호대학원 교수는 “디지털 정보는 흔적이 거의 남지 않아 적절히 관리되고 있는지 확인이 중요한데 법과 현실의 괴리가 크다”고 지적했다. 예컨대 고객이 동의해 넘겨준 개인정보를 기업이 또 다른 제3자에게 넘길 때 추가 동의를 구하도록 하고 있지만 제대로 확인할 수 없는 게 현실이라는 것이다. 유럽연합(EU)이 오는 5월 25일 개인정보보호법(GDPR)을 시행하는 것도 변수다. 우리 기업도 EU 거주자의 개인정보를 다룰 경우 제약을 받게 된다. 사용자 이름, 성별, 주소 등은 물론 개인 성향, 인터넷 검색 기록 등을 수집, 보관하거나 해외 이전할 때 본사나 자회사 관계라도 ‘정보 이전 계약’을 맺어야 한다. 기본적으로 유럽에서 수집된 개인정보는 유럽을 떠날 수 없게 되는 셈이다. 기업보안업체 SK인포섹 관계자는 “우리나라는 개인정보보호법상 벌금이 최대 5000만원에 불과하지만 GDPR은 최대 2000만 유로(약 263억원)”라고 말했다. 김 교수는 “벌금 액수의 문제보다 기업들이 사용자의 신뢰를 바탕으로 정보 보안 관리를 어떻게 하느냐가 더 중요하다”고 강조했다.

이재연 기자 oscal@seoul.co.kr