[KISA 칼럼] ‘유출방지’ 중심의 개인정보보호 정책 패러다임 바꿔야

새로운 개인정보보호 정책 패러다임으로 전환해야

최근 몇 년 사이 대형 개인정보 유출사고가 줄을 잇고 있다. 2008년 2월 옥션 1,081만명, 같은 해 9월 GS칼텍스 1,125만명, 지난해 3월 신세계몰 390만명, 올해 4월 현대캐피털 42만명의 개인정보가 유출되었다.

이 수치만 더해도 통계청이 2010 인구주택총조사 결과에서 밝힌 우리나라 인구 4,822만 여 명의 55%에 해당한다. 이보다 작은 규모의 개인정보 유출사고는 셀 수 없이 많다. 이렇게 보면 우리 국민 대부분의 개인정보가 유출된 상태라고 보아도 지나치지 않을 것이다.

그러면 이러한 대형 개인정보 유출사고가 우리나라만의 상황인가 하면 그렇지도 않다. 올해만 해도 가까운 일본의 소니가 7,500만명, 미국의 워드프레스가 1,800만명의 개인정보 유출사고를 당했다. 그리고 미국의 한 기관에서 조사한 바에 의하면 2005년부터 2011년 현재까지 미국에서 유출된 개인정보의 누적건수가 5억 2141만건이라 한다. 이는 올해 7월 기준으로 추정한 미국 인구 3억 1,323만명 보다 많다.

이러한 통계조사를 통해 현재 논의되고 있는 기술적, 관리적 대책의 강화만으로는 무언가 부족하다는 것을 느낄 수 있다. 이는 이름, 주민등록번호, 주소, 전화번호, 회원 아이디와 비밀번호 등 우리가 온라인과 오프라인에서 생활하는 데 이용하는 필수 개인정보가 이미 노출되었다 할 수 있다.

이러한 상황에서 쉽게 취할 수 있는 조치는 회원 아이디와 비밀번호를 바꾸는 정도이다. 그러나 회원 아이디와 비밀번호를 바꾸는 것만으로 문제가 해결되는 것은 아니다. 신원도용과 전화사기 등 유출된 개인정보를 이용한 범죄가 일어날 가능성이 항상 있기 때문이다.

그동안 개인정보 관련 사고가 발생할 때마다 우리는 관계 법률을 개정하여 개인정보보호 의무 및 책임을 강화하여 왔다. 그럼에도 개인정보 유출 사고가 줄어들기는커녕 더 빈발하고 있고 또 피해규모도 커지고 있다. 이제는 개인정보보호 정책의 패러다임을 개인정보 보유를 전제하고 그 유출을 방지하는 데에 머물지 않고 개인정보 유출 사고를 전제하여 그로 인한 피해를 예방하고 구제하는 정책으로 확장하는 것이 필요하다고 본다.

이를 위해서는 불필요하게 과다한 개인정보를 수집, 보유하지 않으며 또 유출된 개인정보가 범죄 등에 사용될 수 없도록 그 부정사용을 막을 수 있는 시스템을 강구하는 것이 핵심이다. 또한 유출된 개인정보를 이용하여 쉽게 이득을 취할 수 없도록 회원 가입 등에서의 본인확인 방식을 바꾸는 방안도 검토해야 한다.

지난 3월 29일 제정된 ‘개인정보 보호법’이 9월 30일 시행된다. 새 법의 시행과 함께 새로운 개인정보보호 정책 패러다임으로의 전환을 기대해 본다.

[글 _ 박영우 한국인터넷진흥원 전문위원]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)