은행업, 증권업, 카드업, 보험업은 물론 통신사들까지국민들의 신상, 거래, 재산, 질병 정보 등 모든 정보를 각종 협회와 신용정보 집중기관 및 신용정보회사들이 공유해오고 있음이 드러났다. 심지어 금융지주사조차 고객의 동의 없이 정보를 공유해왔다는 사실이 밝혀졌다. 개인의 신용평가를 위한다는 개인정보공유가 금융사들의 금융약자에 대한 대출권유나 무분별한 마케팅, 채권추심의 편의를 위한 정보로 기능하고 있었다.

이번 카드 사태 후 정부도 ‘기본적인 보안절차만 준수했더라도 충분히 막을 수 있었던 전형적인 인재 사고’라고 발표했다. 최근 일련적으로 일어나고 있는 정보유출 사건을 통해 신용정보유출은 사람이 문제가 아니라 법률과 제도, 관행이 근본적인 문제라는 것에도 인식을 같이 하게 된 것이다.

이규정 한국정보화진흥원 개인정보호단장은 “올해 초 불거진 개인정보유출사건은 관리부주의로 인한 인재로 볼 수 있다”며 “그러나 속을 들여다보면 업무담당자를 비롯한 경영진의 개인정보보호에 대한 인식부족, 내부관리체계와 보안대책의 부실, 수집·이용·제공·위탁·파기 등 개인정보 처리기준·절차의 미 준수 등 복합적 문제를 내포하고 있다”고 전했다.

또한 “이번 사건의 가장 큰 원인은 개인정보처리자의 개인정보 보호에 대한 인식부족과 개인정보 처리의 투명성·전문성 부족에 있으며 이는 신용카드사에만 국한된 문제가 아닐 수 있다”며 “이번 유출사건이 개인정보 처리의 투명성·전문성을 제고하고 사회 전반의 개인정보 보호문화를 성숙하게 하는 계기가 됐으면 한다”고 전했다.

한편 한정미 한국법제연구원 연구위원은 EU, 미국, 영국, 호주, 일본 등의 개인정보보호법과 우리나라의 그것을 비교하면서 “우리나라의 경우 IT 강국의 면모가 금융 분야에서도 이미 나타나고 있고 대체로 다른 국가에 비해 오히려 앞서고 있는 것으로 판단된다”며 “단, 미국의 FCRA의 경우와 같이 신용정보의 경우 개인정보와 달리 보유기간을 법제화하는 것을 검토해야 한다. 또한 개인정보 처리 위탁은 불가피한 상황이기 때문에 미국이나 일본과 같이 위탁자와 위탁계약을 체결하기 이전에 철저한 검증을 요구하는 것에 대해서도 검토해볼 필요가 있다”고 전했다.

이처럼 개인 신용정보 집중 및 공유에 대한 문제점이 지적되고 있는 만큼 각계 전문가전문가들의 발 빠른 개선책이 요구되는 시점이다.

개인정보 유출 위험성 높은 인터넷 환경

이와 관련해 반드시 짚고 넘어가야 하는 문제는 한국의 인터넷 환경을 특징짓는 과도한 본인확인 요구다.
일반 표현의 영역에서 인터넷 실명제(제한적 본인확인제)가 세계에서 유일하게 도입됐으나 , 2012년 헌법재판소가 민간영역 온라인 게시판 실명제에 대해 위헌으로 결정한 바 있다. 이는 주민등록번호의 민간영역에서의 활용을 부추긴 근본적인 원인 중 하나였다고 할 수 있다. 전자상거래에 있어서도 본인확인이 전제된 전자상거래를 사실상 강제해 왔다. 이 과정에서 주민등록번호는 물론이고 보안상 문제점을 가지고 있다고 평가받는 공인인증서의 사용이 강제됐다.

은행권 금융거래에 있어「금융실명거래 및 비밀보장에 관한 법률」에 근거를 두고 있는 금융실명제에 기반한 인터넷 금융 거래 시 본인확인을 정당화하고 있는 측면도 있다. 그러나 금융실명제의 운용과 인터넷 금융 거래 시 실명확인 문제를 동일시해야 하는 것인지에 대해서는 입법목적의 실현이라는 측면에 관해서 세부적인 검토가 필요한 것으로 보인다.

또한 우리나라 인터넷 환경은 본인확인 체계가 매우 안전하며 실효적이라는 관점을 전제로 하고 있는 것이지만 이런 관점으로 인해 인터넷 활용의 위험이 더욱 증대되고 있는 상황이다. 본인확인 체계가 전제된 인터넷 활용은 그만큼 위험성이 있는 개인정보가 인터넷을 통해 유통 및 이용될 가능성이 높다는 사실을 의미한다. 기계적으로 이뤄지는 인터넷의 본인확인은 실제 이용자의 본인 여부를 확인해 주는 것이라기보다는 단순한 숫자 등 정보의 일치여부 확인에 불과하다.

인터넷을 통한 본인확인은 직접 대면을 전제로 한 것이 아니다. 따라서 아무리 좋은 시스템 인터넷을 통한 본인확인은 직접 대면을 전제로 한 것이 아니기 때문에 아무리 좋은 시스템이 구축된다고 할지라도 오프라인과는 달리 언제든지 다른 이의 정보를 악용하는 것이 가능하다. 이런 측면에서 제도적으로 사실상 획일화된 공인인증서를 중심축으로 하는 전자 및 금융거래 체계는 상당한 편의성을 가짐에도 불구하고 높은 위험성을 항시 내포하고 있다. 본인확인을 위한 개인정보의 보유 및 이를 활용한 인증을 민간기업(신용평가사 및 통신사)에 위임하고 있어 개인정보 유출의 위험성이 더욱 높다.

필수정보 제한·주민번호 암호화

이에 정부는 지난 3월 10일 정부서울청사에서 관계부처와 합동으로 이 같은 내용을 담은 ‘금융분야 개인정보유출 재발방지 종합대책’을 발표했다. 정부는 우선 개인정보 수집·보유·활용·파기 등 단계별로 고객정보 보호를 강화하기로 했다.

고객정보 수집은 이름·주민등록번호·주소·연락처 등 필수정보 6~10개로 제한하고 주민등록번호도 최초 거래 시에만 수집하도록 했다. 주민등록번호는 암호화해 관리해야 한다. 금융거래 종료 후에는 신상정보는 3개월 내 파기하고 모든 보관정보는 법령상 추가보관 의무대상을 제외하고 5년 내에 폐기하도록 했다. 또 고객이 본인의 개인정보 이용·제공 현황을 언제든지 확인할 수 있도록 금융회사별 조회 시스템을 구축한다. 정보보호와 관련해서는 금융회사가 확실하게 책임지는 구조를 확립하기로 했다. 이에 따라 금융사 임원의 정보보호·보안관련 책임이 강화된다.

금융사 최고경영자(CEO)와 이사회는 정보보호 현황을 보고받고 그 내용을 감독당국에 제출해야 한다. 신용정보 관리·보호인을 임원으로 둬야 하며 일정규모 이상 금융사의 정보보호최고책임자(CISO)는 다른 정보통신(IT) 관련 직위와 겸직을 제한한다. 불법정보 활용·유출 때에는 금전적· 물리적 제재도 강화한다. 불법 유출된 고객정보를 이용하면 징벌적 과징금을 관련 매출액의 3%까지 부과한다.

정보유출 시에도 과징금을 최대 50억 원까지 물린다. 정보유출 관련 형벌은 10년 이하 징역 등으로 크게 높인다. 해킹 등 외부침입 행위에 대해서도 강력히 대응키로 했다. 주기적으로 보안 이행실태를 점검하고 보안전담기구를 설치해 상시적인 보안체계를 구축한다. 이미 계열사와 제3자에게 제공된 개인정보에 대해 잠재적인 피해가 발생할 가능성을 열어두고 대응방안을 강구하기로 했다.

복잡한 법체계, 단순화 필요

개인정보 보호법의 통합이 필요하다는 논의도 계속되고 있다. 우리나라의 현행 개인정보 보호법제는 일반법-특별법 체계로 구성돼 있다.「개인정보 보호법」을 일반법으로 해 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」, 「전자금융거래법」 등 개별법을 특별법으로 취하는 체계이기 때문에 집행하는 데 있어서 혼선이 발생하고 있다.

보통 당해 사안을 직접적으로 규율하는 법률(특별법)이 있으면 그에 따르고 그렇지 않은 경우 일반법이 적용된다. 그런데 우리의 개인정보보호법제가 개별법(특별법)이 전제된 상황에서 일반법을 구성했기 때문에 문제가 발생하고 있는 것이다. 무엇보다도 2011년 9월 개인정보보호법 시행 이후 국민의 인식은 상승하고 있지만 기업은 그에 따르지 못하는 것이 근본적인 원인이다. 복잡하고 준수하기 어려운 개인정보보호 법체계뿐만 아니라 주무기관의 느슨한 법집행, 각 주무기관 사이의 비평형적인 규제, 피해자에게 배상하지 않아도 되는 기존 관행 등이 문제였다. 구체적으로 살펴보자면 우선 공급자 중심의 법체계로 수요자는 법 준수에 있어서 혼란을 겪게 된다.

예를 들면 금융회사는 관리하는 개인정보에 관해 신용정보보호법, 전자금융거래법, 정보통신망법, 개인정보보호법의 30여 개의 법률 및 그에 따른 시행령, 시행규칙, 고시 등을 준시해야 해 애로사항이 많다. 또한 2013년 7월 안전행정부에서 발간한 ‘금융분야 개인정보보호 가이드라인’에서는 금융기관도 주민등록번호 암호화 의무가 있다고 안내했지만 금융당국 관계자는 이는 가이드라인에 불과해 지킬 필요가 없다고 말한다. 금융회사들 역시 자신들은 주민등록번호를 암호화할 의무가 없다고 주장한다. 또한 중복규제의 문제도 있다.

수요자는 같은 사항이라도 유사한 여러 법령에 노출돼 그 법령을 모두 검토하고 지켜야 하는 바, 기업의 규제 준수 비용은 올라감에도 불구하고 어떤 법을 준수해야 하는지, 어디까지 준수해야 하는지에 대해 정확한 판단이 어려운 실정이다. 예를 들어 개인정보 위탁 시 정보통신망법은 위탁사실에 대해 정보주체의 동의를 얻게 하고 있지만 개인정보보호법에 따르면 정보주체에게 공개만 하면 되는 바, 온라인 서비스와 오프라인 서비스를 모두 제공하는 기업은 개인정보 위탁 시 공개도 하고 동의도 받게 된다.

과태료, 과징금, 형법 규정 등 규제 및 책임에 있어서도 천차만별이다. 원칙적으로 일반 개인정보보다 민감한 신용정보나 금융거래정보에 대해서는 개인정보보호법보다 더 엄격한 보호조치가 수반되고 책임을 물어야 함에도 현실은 반대다. 실례 중에 실수로 카페 탈퇴자에 대해 이메일을 발송한 카페장에게는 700만 원의 과태료 처분이 나온 반면, 수백만 명의 개인정보를 유출한 금융기관에게는 600만 원의 과태료 처분이 나온 적이 있다. 현재의 복잡한 법체계는 피해구제에 방해 요소가 되고 있어 권리구제가 어렵다는 점도 문제다.

이에 김경환 법률사무소 민후 변호사는 “개인정보보호 법령의 통합이 필요하다”며 “하나의 통합법을 통해 통일적으로 법적용을 하면 규제가 단순화 일원화됨으로써 분리감독 체제 시 우려될 수 있는 규제의 분화 현상이 발생하지 않을 것”이라고 말했다. 늦은 감이 있지만 지금부터라도 개인정보에 대해 하나의 법률을 적용하고 중복 규제를 없애면 규제의 불공평성과 법 적용상의 혼란이나 피해구제의 난점도 해결할 수 있지 않을까?

MeCONOMY April 2014