잊을 만하면 터지는 개인정보 유출사건. 2008년 들어서만 대략 한 달에 한 번꼴로 발생했다. 사건이 터질 때마다 해당기업은 재발방지를 약속하지만 얼마 안 가 이 약속은 술에 물 탄 듯 사라지고 사건은 어김없이 또 터진다.                               
윤봉기 기자 bk@

● 2008년은 개인정보 유출의 해?

 2008년 2월 옥션 1,081만 명 고객정보 유출, 4월 하나로텔레콤 고객정보 제휴업체에 제공, 7월 다음 43만 명 회원 이메일 내용 무작위 노출, 9월 GS칼텍스 1,125만 명 개인정보 유출 등 2008년 집중적으로 터진 개인정보 유출 건수로만 보면 2008년은 개인정보 유출의 해라고 해도 과언이 아니다. 인터넷 문화가 만연하기 시작한 2000년대 이후 줄기차게 뿌리 뻗어나오는 개인정보 유출사건은 개인정보의 노출뿐만 아니라 각종 범죄 및 상술 등에 악용되어 2차 피해까지 발생하는 상황에 이르렀다.  

 개인정보는 일반적으로 컴퓨터 네트워크를 침입하는 해킹이나 정보 판매, 무단 이용, 조작자의 실수 등으로 유출된다. 특히 해킹은 주로 다른 사람의 컴퓨터에 잠입해 중요한 개인정보를 빼가는 ‘스파이웨어’를 사용하거나 컴퓨터 바이러스를 침투시키는 방식으로 이루어져 왔다.

 기업 관계자가 고객의 정보를 의도적으로 빼내 다른 업체에 불법 판매하는 경우도 있다. 인터넷 회원 가입 때 작성하는 개인정보가 사고파는 상품으로 전락한 것이다.

● 개인정보를 사고파는 현대판 ‘인간시장’의 형성

 제공한 기억이 없는데 알지도 못하는 곳에서 광고성 문자나 이메일이 왔다면 그건 내 정보가 나도 모르는 새 유출이 됐다는 방증이다. 이렇듯 한 번 노출이 된 개인정보는 날카로운 비수(匕首)가 되어 개인의 휴대전화로 또는 이메일로 그 예리함을 드러내며 스팸이라는 악성광고의 칼을 꽂는다.  
 
 올 초 2월 인터넷 경매사이드인 옥션이 중국의 해커에게 고객정보를 해킹당했다. 고객의 개인정보는 물론 매매내용, 계좌정보까지 깡그리 탈취당했다. 옥션의 해킹 피해 직후 한 소프트웨어업체가 조사한 바에 따르면 1분기 스팸메일이 전체 이메일의 94.5%에 달했다고 한다. 역대 최고치를 기록한 것이다.

 하지만 스팸메일에 의한 고통은 양호한 편이다. 문제는 바로 보이스피싱(voice phishing·전화를 이용한 신종 금융사기)에 있다.

 종로구에 사는 이미희(가명)씨는 발신번호가 찍혀있지 않은 자동응답전화(ARS)를 받았다. “국민카드가 연체돼 신용불량자가 될 수 있다”는 멘트가 수화기에서 흘러나왔다. 깜짝 놀란 이씨는 ARS의 지시대로 버튼을 눌렀다. 그러자 조선족 말투를 쓰는 남자가 “롯데백화점에서 카드로 190만원어치를 구입한 게 연체됐다”고 말했다. 이씨가 “구매한 적이 없다”고 하자, 남자는 “개인정보가 도용돼 은행 예금이 인출될 수 있다”며 “연체 관리센터에 문의해 보라”며 전화번호를 알려줬다. 이씨는 별 의심 없이 그 번호로 전화를 걸어 지시하는 대로 했다. 그 후 통장을 확인해 보니 190만원이 사라졌다.

 금융감독원이 밝힌 보이스피싱 사례건수는 지난해 12월부터 올 3월까지 2,174건에 이른다고 밝혔다. 옥션 개인정보 유출 피해가 있은 직후인 3월에만 1,133건이나 됐다.

 개인정보 유출에 대한 심각함이 여실히 드러나는 대목이다. 더욱 심각한 것은 옥션과 같은 매매사이트의 경우 계좌정보까지 유출이 된 상태여서 만일 각 개인의 계좌가 밀거래된다면 그 피해는 더 심각해질 수 있다. 해킹한 계좌와 개인정보를 통해 금전을 인출할 수도 있고 밀거래한 계좌를 통해 신종 범죄를 저지른다면 범인을 거의 잡을 수가 없기 때문이다. 예를 들어 중국 같은 경우 아직 전산화 시스템이 미비해 이렇게 대포통장으로 받은 외화는 1주일 뒤면 그 거래내용 자체가 흔적도 없이 사라지게 되어 있다.

 인터넷 문화가 확산되면서 인간의 삶은 더욱 더 윤택해지고 있다. 하지만 이는 곧 각종 포털사이트의 무분별한 난립을 불러 개인정보 유출 사건과 같은 크나큰 병폐를 낳고 있기도 하다. 이렇게 흘러나간 개인정보는 암암리에 밀거래되어 불법적인 돈벌이에 이용되고 있다. 인터넷 인프라가 활성화되면서 각종 포털사이트에서 수집된 개인정보가 비공식적 루트로 흘러나가 00원에 판매되는 신(新)‘인간시장’이 형성된 것이다.

“개인정보 중개상 강모씨 등은 개인정보를 매매하는 인터넷 카페나 사이트 등에서 건당 20∼200원에 개인정보를 사들였다. 중개상으로부터 개인정보를 구입한 스팸메일 발송업자는 국내 수사망을 피하려고 중국 지린(吉林)성에서 조선족 아르바이트생을 고용해 구입한 ‘개인정보’로 음란사이트에 가입한 뒤 스팸메일을 보냈다.”

 인간의 존엄성이 20~200원으로 전락한 셈이다. 개인정보 보안에 대한 정책이 조금씩 강화되자 개인정보를 사고파는 행위는 점차 지능적으로 발전하여 제3국을 통한 판매 등을 이용, 법망을 교묘히 빠져나가고 있다.

 2007년 한국정보보호진흥원의 발표에 따르면 작년 한 해 개인정보 유출피해는 주민번호 도용이 7,111건(78%), 아이디 도용 886건(10%), 타인정보 침해 659건(7%), 전화번호 도용 269건(3%), 게임 아이템 도용 161건(2%) 순으로 밝혀져 주민번호 도용 문제가 가장 심각한 것으로 나타났다. 

 더욱 심각한 문제는 상황이 이처럼 심각한데도 실제 피해를 막을 수 있는 방법이 ‘개인 차원의 주의’ 이외에는 사실상 없다는 점.

 개인정보가 일단 유통되기 시작하면 조직적으로 대량 복제돼 온ㆍ오프라인으로 광범위하게 유포되는 탓에 피해 수습은 그야말로 ‘소 잃고 외양간 고치는 격’일 수밖에 없는 것이 사실이다.

 보안업계에서는 결국 누구든 개인정보가 유출됐을 가능성이 크다고 보고 경각심을 가지는 수밖에 없다고 조언했다.

● 대기업의 안이한 정보 보안관리 실태는 전부터 문제가 되어 왔다   

 해킹 또는 내부자의 비양심, 기업 측 단순실수. 개인정보 유출 피해 유형은 다양하다. 사업자의 개인정보 관리 소홀 문제는 뜻밖에도 해킹보다는 대기업의 허점에서 노출되는 사건이 많았다.

 지난해 4월 KT의 통화연결음 ‘링고’ 서비스 가입자 190만 명의 개인정보가 인터넷상에 무방비로 노출되는 사고가 터졌다. KT는 40여 개의 상품별 홈페이지를 통폐합하는 과정에서 발생한 실수라고 해명했지만 사업자의 관리 소홀에 따른 개인정보 유출사고의 대표적 사례였다.

 국내 통신사인 하나로텔레콤은 600만 명의 개인정보를 고의적으로 텔레마케팅 업체 등에 다단계로 유출했다. 사업자가 고객 동의없이 개인정보를 무단으로 사용한 월권의 극치였다.

 개인정보 유출사건은 이미 예정돼 있던 상처가 곪아 터지는 것이다. 고객정보를 보유하고 있는 각 기업은 평소 자사정보시스템의 보안 취약점을 찾고 이를 강화하는 데 노력을 기울여야 한다. 하지만 대부분의 기업이 정보시스템의 안전진단에 사용되는 비용을 생산이란 개념으로 받아들이지 않고 소비의 항목으로 밀어 버리기 때문에 공들여 컨설팅을 하지 않는다. 

 정보시스템에 대한 보안컨설팅은 업체 스스로 진행한 후 안전진단 수행기관의 점검을 받도록 돼 있다. 정보보안 컨설팅은 운영하고 있는 정보시스템을 모의해킹 등을 통해 보안 취약점을 분석하고, 문제가 발견되면 이를 보완하는 매우 전문적인 작업이다.

 컨설팅을 자체로 진행하기보다는 외부의 전문업체에 맡겨야 하는데, 대부분의 기업이 비용 문제 때문에 공들여 컨설팅을 하지 않고 있다. 즉, 보안에 돈을 쓰는 것을 투자가 아닌 지출로만 인식하고 있는 것이다. 그리고 안전 진단제도의 기준도 명확하지 않다.

 예를 들어 데이터베이스 서버의 경우 고객정보, 거래정보를 포함한 서버의 안전을 진단하라고만 돼있지, 데이터베이스 서버의 무엇을 어떻게 진단하라는 것인지에 대한 세부규정이 전혀 없다. 전산시스템을 구성하는 다른 요소 또한 마찬가지로 세부규정이 없으며, 이에 따라 안전진단제도가 유명무실하게 운영되고 있다.

 지난해 정보보호진흥원이 2500여 개 민간 기업을 대상으로 조사한 정보보호 실태 조사에 따르면 절반 이상(50.8%)이 정보보호에 한 푼도 투자하지 않는다고 말했다. 

● 과도한 주민등록번호 요구

 요즘 인터넷 포털사이트나 각종 보너스 카드 등에 가입하려 하면 필수 요구조건이 주민등록번호의 기재이다. 보너스 카드처럼 굳이 주민등록번호가 필요하지 않은 범주라도 기업은 진공청소기처럼 주민등록번호를 수집한다. 자사 제품이나 서비스를 이용할 계층의 특성과 취향 분석을 목적으로 정보를 모은다지만 그에 따른 관리는 뒷전으로 밀어두기 때문에 사고의 위험을 키우는 것이다. 개인정보 유출사고에서 가장 큰 문제가 되는 것은 바로 이 주민등록번호의 노출이다.

 개인정보의 유출을 통제하는 것이 어려운 일이라면 유출가능한 정보 자체를 제한하는 것도 해답이 될 수 있다. 현재 우리나라 주민등록번호 체계는 ‘주민등록법시행령’에 따른 숫자 0~9까지의 열세 자리 조합이다. 문제는 주민등록번호 그 자체만으로 많은 정보를 함축하고 있다는 점이다. 생년월일, 성별, 출생지역, 신고순위 등 여러 정보가 주민등록번호만으로 확인이 가능하다. 그리고 주민등록번호는 한 개인의 평생 바꿀 수 없는 불변의 번호이기 때문에 이 번호만 알고 있으면 여러 정보기관의 개인 데이터도 쉽게 알 수 있게 된다.

 예를 들어 누구나 한 번쯤 보험사의 텔레마케팅 전화를 받아본 적이 있을 것이다. 특히 자동차 보험 만기가 다가오면 언제 알았는지 각종 보험사로부터 자사상품의 홍보와 권유를 듣게 된다. 왜 이런 일이 벌어질까. 원인은 바로 주민등록번호에 있다. 보험사들은 오래전부터 주민등록번호로 고객관리를 해 왔다. 고객이 아무리 주소지를 옮기고 전화번호를 바꿔도 보험사들은 이를 추적할 수가 있다. 한국 사회에서 주민등록번호 열세 자리는 이처럼 개인을 식별할 수 있는 '키(Key)'라고 할 수 있다. 전화번호 또는 주소는 바뀌지만, 주민등록번호는 죽을 때까지 변하지 않기 때문이다. 즉, 아무리 보안체계를 강화한다고 하더라도 현 주민등록번호 체계가 개선되지 않는 이상 우리의 개인정보는 언제나 숫자 몇 개로 발가벗겨진다는 것을 시사한다.

 선진국의 예를 들어보자. 미국은 우리나라의 주민등록번호체계와는 다른 사회보장번호(SIN: Social Insurance Number) 시스템으로 운영되고 있다. 이 번호는 본인의 의사에 의해서만 부여되고 신청시 바꿀 수 있을 뿐만 아니라 번호 자체에 개인의 정보를 담고 있지 않다. 연방정부 또한 이 번호의 사용과 접근을 엄격히 통제하고 있다. 즉, 복지 및 의료서비스나 금융서비스를 제외하고는 우리나라처럼 온라인 게임 사이트를 가입할 때 게임회사가 사회보장번호를 필수로 물어보는 것이 법적으로 불가능하다는 것이다.

 뭐든지 익숙해진 체계를 바꾸는 것은 힘이 들기 마련이다. 하지만 매도 먼저 맞는 게 낫다고 어차피 해야 할 일이라면 좀더 일찍 하는 것이 현명한 판단이 아닐까? 

● 개인정보 수집 및 활용에 대한 거부권이 없다?

 기업 측에 의해 반강제로 수집되는 자신의 정보에 대한 통제권을 갖지 못하게 되는 것도 심각한 문제로 작용한다. 일단 사고 등으로 인해 노출되는 자신의 정보가 악용되는 것에 대한 문제도 있지만 정보를 공유한 측에 의해 일방적인 감시를 당하는 차원도 배제할 수 없기 때문이다.

 예를 들어 각종 검색 사이트 중 대부분이 가입자가 개인정보 수집 및 활용에 대한 거부권을 행사할 수 없도록 페이지를 구성해 놓았다. 쉽게 말하면 약관에 대한 내용에 거부를 한다면 회원가입 자체를 할 수 없도록 되어 있다. 실제로 이런 사이트 회원가입 화면을 보면 개인정보에 대한 ‘동의합니다’, ‘동의하지 않습니다’의 아이콘 중 ‘동의하지 않습니다’를 선택하면 메인페이지로 강제 이동되게 된다. 또한 동의해야 하는 항목에서 부분선택을 할 경우 강제로 동의할 것을 요구한다.

 대한민국 헌법 제17조는 “사생활의 비밀과 자유를 침해하지 않는다”라고 하여 헌법도 개인정보에 대한 자기결정권을 존중하고 있다. 하지만 IT 정보기술이 발전하면서 개인의 정보에 대한 통제권은 구속받고 점점 약해지고 있다. 언론 또한 기업에서의 유출만 부각시켜 보도를 하고, 가장 중요한 헌법의 기본권조차 보장받지 못하는 개인의 아픔은 바라보지 못한 채 맹목적인 보도만 하는 것이 정말 안타깝다. 이 부분에 대한 정부의 올바른 시각과 빠른 대처가 필요하다.

● 기업의 관리

 SK텔레콤은 가입자 4500만 명의 각종 개인정보를 가지고 있다. 네이버도 3100만 명의 개인정보를 확보하고 있다. 이런 거대기업도 얼마든지 주민등록번호 등이 유출될 수 있다.

 이와 관련, SK텔레콤 관계자는 “전산실 조회 권한을 세분화해 직원 등급별로 최소한의 정보만 검색할 수 있도록 했기 때문에 수백만 명의 정보가 외부로 새나가는 일은 불가능에 가깝다”고 주장한다. 네이버와 같은 포털에서도 개인정보는 암호화해 별도의 서버에 저장하는 데다 소수의 관리자를 제외하고는 접근할 수조차 없어 개인정보가 한꺼번에 빠져나가는 것은 불가능하다고 말한다.

  올 들어 잇달아 터진 개인정보 유출사건으로 인해 각 기업에 고객정보 사수에 대한 비상이 걸렸다. 고객정보 유출은 기업의 신뢰도 하락과 직결된다는 위기감이 작용한 것이다.

 멀티플렉스 영화체인인 CJ CGV는 최근 홈페이지에서 고객들이 회원으로 가입하는 과정에서 제3자에게 개인정보를 제공해도 좋다는 동의 여부를 묻는 절차를 아예 없앴다. 개인정보를 제3자에게 제공해도 좋다는 동의가 있어야 회원으로 가입할 수 있다는 동의 여부를 없앰으로써 정보유출의 빌미를 제거했다는 점이 부각된다.
 정유사인 에쓰오일은 고객정보 관리를 자회사에 맡기지 않고 직접 관리하고 있다. 고객정보 열람은 회사 안에서 4명만 할 수 있으며, 다른 직원이 이 정보를 열람하려면 담당자에게 실시간으로 통보해야 한다.
 신세계 계열은 1200만 명의 고객정보를 암호화 기능인 디지털저작권 시스템으로 관리한다. 고객정보를 암호화한 뒤 이를 담은 파일을 다시 암호화해서 사내 특정 시스템으로만 파일을 읽을 수 있는 방식이다.

● 온라인은 개인정보 위험지대

 현재 국내 소비자의 구매 행태를 보면 기존의 오프라인 매장을 넘어 온라인 채널을 통한 상거래 비중이 점점 커지고 있다. 어떤 분야에서는 오프라인 거래보다 압도적으로 많은 경우도 있다. 온라인 거래는 단순히 인터넷 마켓에 치우치지 않고 인터넷뱅킹, 주식거래, 보험, 여행상품 등 무형의 재화로까지 확대되고 있다.

 물론 최근 인터넷을 기반으로 하는 서비스를 제공하는 많은 업체들이 각종 보안에 신경을 쓰다 보니 휴대폰이나 공인인증서, 신용카드 등으로 철저하게 본인 확인을 하는 곳도 늘고 있지만, 단순히 ID와 패스워드, 주민번호, 휴대폰번호, 주소 등으로 본인 확인을 하는 경우도 적지 않다. 이런 경우에는 유출된 정보만으로 다른 사람인 척 가장하는 것이 가능해질 것이다.

● 중요한 개인정보, 사회적 보호장치가 필요하다
 
 개인정보를 취급하는 기업 입장에서 보면 최근 정보 유출사건들이 해킹, 관리자 부주의, 내부자 유출 등에 의해 주로 발생하고 있는데, 특히 외부의 공격에 해킹을 당한 경우에는 자신들도 피해자인데 막대한 금전적 보상으로 인해 회사의 존폐까지 위협받는다면 억울한 마음이 생길 것이다.

 이런 경우를 대비해 일각에서는 고객 개인정보를 취급하는 업체를 대상으로 정보 유출사고 발생시 피해자에 대한 보상이 가능한 보험 가입을 의무화해야 한다는 주장도 있다. 현재 손해보험사에서는 ‘개인정보보호배상책임보험’이라는 상품을 판매하고 있다.
 이 보험은 고객정보를 다루는 업체가 업무 수행 과정 중 개인정보가 유출되는 사고로 인하여 제3자(유출 피해자)로부터 손해배상청구가 제기되어 법률상 배상책임을 부담함으로써 입은 손해를 보상하는 보험이다. 앞서 언급한 것처럼 기업과 소비자가 양쪽이 다 피해자가 되어버리는 개인정보 유출사건이 일어났을 때 피해를 최소화시켜주는 일종의 보호장치이다.
 이 보험에 가입하면 피해자에 대한 업체의 법률상 손해배상금 외에 관련 소송비용, 정보의 누출사고로 실추된 업체의 브랜드 이미지 회복 비용까지도 보상받을 수 있다.

 이 보험은 해당 기업이 자의에 의해 개별적으로 가입하는 보험이어서 가입률이 아주 저조한 실정이다. 정부는 제도적 보호장치의 하나로 개인정보보호 관련법을 제정하는 한편, 피해자가 될 수 있는 기업과 소비자를 위해 이러한 보험을 보호장치의 하나로서 가입을 권고하는 등 강제성을 부여할 필요가 있다.

 가까운 일본의 경우를 보면, 2000년대 초반에 ‘개인정보유출배상책임보험’이 도입되었으며
2005년 ‘개인정보보호법’이 시행되면서부터 가입률이 올라갔다고 한다.

 OECD(경제협력개발기구) 국가 중 개인정보 보호 관련 기본법이 없는 나라는 우리나라와 멕시코 정도라고 한다. 국내에도 개인정보를 보호하기 위한 법률이 존재하기는 한다. 통신비밀보호법, 공공기관의 정보 공개에 관한 법률 등 개인정보 관련법이 10여 개나 있다. 하지만 그 체계가 촘촘하지 못하여 현행법만으로는 개인정보의 유출을 막을 수 없다고 한다. 이에 정부에서는 최근 빈발하는 개인정보 유출사고의 확대 및 재발방지를 위해 국제기준에 맞는 개인정보 처리원칙을 규정하고 ‘개인정보보호법’ 제정을 추진하고 있다. 우선 정부는 ‘인터넷 정보보호 종합대책’의 하나로 인터넷사업자의 개인정보 수집을 최소화하기로 결정했다.

 회원가입시 공인인증서를 통한 회원인증 방법이나 국가에서 통제하는 형태의 인증방법으로 관리를 하든지, 현재 기업에서 개인정보에 대한 강제 동의를 요구하는 행태를 개인이 선택할 수 있도록 해줘야 한다. 더 이상 개인정보는 기업에 노출되어서는 안 된다. 아직도 대부분의 기업이 회원정보에 대한 보안의식과 보안기술이 외국에 비해 현저하게 떨어지는 만큼 대응방안이 필요하며, 소비자의 개인정보가 유출되고 있는 만큼 정부의 적극적인 대처가 필요하다. 많은 기업이 보안의 중요성을 알고는 있지만, 실제 많은 돈을 투자하는 기업은 드물다. 그렇기 때문에 정부에서 '개인정보보호법'을 하루라도 빨리 제정해, 기업의 투자를 어느 정도 강제할 필요가 있다.NM