[ET단상]인터넷 사용 30년, 개인정보 보호의식 높이자

A사 80만, B사 35만, C사 40만. 경우에 따라 1000만 이상을 넘을 수 있는 이 수치는 해킹으로 유·노출된 개인정보 건수다. 사고의 원인은 이들 기업의 홈페이지 취약점과 출력물 관리 소홀, 데이터베이스(DB) 접근통제 미흡이었다. 과거에는 해킹 목적이 해커의 능력 과시였다면 요즘은 다양한 불법 상행위에 악용되고 있어 사회적 관심의 한가운데 있다.

기업에서 보안사고가 발생하면 이미지 실추와 소비자 단체의 불매운동, 개인정보 유출 피해자의 집단 손해배상 청구 등이 일어난다. 경영활동에 심각한 타격을 입을 수 있어 시한폭탄처럼 여겨지는 것이 바로 개인정보다. 최근 법원은 개인정보 유출사고 피해보상 소송에서 사업자가 위자료 100만원을 지급하라는 손해배상 판결을 내렸다. 전국적으로 피해자 다수가 소송을 제기한 상태라 최종심까지 주목할 필요가 있다.

왜 반도체와 자동차, 선박 제조 등 첨단기술 정보보다 개인정보가 집중적으로 공격받을까. 대부분 기업이 개인정보보다 산업기밀을 꼼꼼히 챙기기 때문일 수 있다. 또 해커가 첨단기술을 해킹해봐야 판매 경로를 찾을 수 없거나 극히 제한적이기 때문이다. 개인정보를 유·노출해도 사업자나 개인이 알기 어렵거나, 진정한 해커로 인정받는 데 개인정보 해킹과 노출이 통과의례일 수도 있다.

온라인에서 개인정보는 제3자에 의한 수집 및 검색이 쉽고, 정보주체의 제공 의도와 기업의 통제를 넘어 무제한적 재생산과 배포가 가능하다. 악의적 사용자가 자신이 수집한 개인정보와 정보주체가 일치한다는 것을 아는 순간부터 정보주체는 온오프라인에서 소유권을 잃고 사생활을 보장받을 수 없게 된다. 고액의 금융 사기나 보이스피싱, 텔레마케팅 등에 악용될 수도 있다.

최근 방송통신위원회는 정보통신망법 시행령을 개정하고 범정부 차원에서 정보주체의 권리 보호에 노력하겠다고 천명했다. 주요 내용은 주민번호 수집이용 제한, 개인정보 노출 통지, 개인정보 유효기간 및 이용내역 통지 등이다. 기업이 개인정보를 수집할 때 법적 통지를 하고, 수집 금지 요청(opt-out)을 받고, 요청에 따라 개인정보를 삭제하도록 권고했다.

개인정보보호에 적정 수준의 환경을 구축하기 위해서는 정부의 정책, 규정과 더불어 사업자, 이용자 모두의 지속적 관심과 책임이 따라야 한다. 자발적 모니터링, 즉 내적 필요성이 뒤따르지 않으면 법률의 기능은 제한적일 수밖에 없다.

미국 건축사의 거장 루이스 설리번은 `형태는 기능을 따른다(Form ever follows function)`고 말했다. 그는 모든 건축물이 내적 필요성이 뒤따를 때 비로소 온전한 건물이 된다는 신념으로 시카고의 마천루를 지어나갔다. 정보보호는 이제 선택의 문제가 아니라 디지털이라는 형체에 반드시 필요한 내장 장치다. 설계에서부터 반영해야만 하는 필수요건이며, 예방 차원에서 반드시 선행되어야 하는 과제다. 개인이 사업자만큼 기술적〃물리적 차원에서 개인정보보호에 접근하기 어려운 것처럼, 사업자도 정보주체의 개인정보가 상대적으로 중요하지 않은 것은 당연한 이치다. 따라서 사업자나 이용자는 개인정보가 어떻게 활용되는지 끊임없이 관심을 가지고 모니터링 해야 한다. 올해는 우리나라가 인터넷을 사용한 지 30주년이 되는 해다. 온라인 서비스는 절대 무료가 아니다. 지금까지 우리는 비싼 개인정보를 담보로 온라인 서비스를 마음껏 사용해오지 않았는지 깊이 생각해 볼 필요가 있다.

황중연 개인정보보호협회 부회장 jyhwang@opa.or.kr