<정보보호의 날> ③ 개인정보 취급 기업 책임 갈수록 커져

(서울=연합뉴스) 한지훈 윤보람 기자 = "개인은 자신에 관한 정보를 보호받기 위해 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리를 갖는다."

개인정보 자기결정권으로 불리는 이 내용은 헌법에 조문화돼 있지는 않지만 헌법재판소가 2005년 인정한 기본권이다. 정보통신기술(ICT)의 발달과 함께 중요해진 '정보 인권' 개념 역시 이런 기본권을 근간으로 한다.

정보 인권을 지키는 데는 개인의 노력도 필요하지만 무엇보다 정보를 활용하는 기업들의 사회적 책임이 중요하다. 정보 인권의 침해 행위 대부분이 이들 기업을 매개로 발생하기 때문이다.

◇ "낮은 보안 의식·무분별한 수집 관행 개선해야"

기업들이 관리하는 고객 정보가 유출되는 경우는 크게 두 가지다.

해킹과 같은 외부 공격 때문에 속수무책으로 당하는 경우 또는 업체 직원 개인의 실수나 불법 행위로 인한 경우다.

한번 정보가 빠져나간 이상 피해를 완전히 구제하기란 불가능한 만큼 철저한 예방이 이뤄질 수 있도록 기업이 기술과 인력 측면에서 자체적인 보안 수준을 높여야 한다고 전문가들은 입을 모은다.

현행법에 따르면 기업이 개인정보 취급 방침을 발표할 때 개인정보 담당 직원을 명확하게 지정해 밝혀야 한다.

그러나 실제로는 형식적으로 담당자를 지정해놓기만 할 뿐 제대로 보안 교육을 하는 경우는 드물다. 정보유출에 완전히 책임을 지기 어려운 계약직을 고용하는 일도 다반사다.

박지호 경제정의실천시민연합 간사는 7일 "결국 고객 정보를 단순한 돈벌이 수단으로 인식해 보안 전문가를 충분히 배치하지 않거나 직원들을 제대로 교육하지 않은 기업의 책임이 크다"고 비판했다.

기업의 과다한 정보수집 관행 자체가 더욱 근본적인 문제라는 지적도 있다.

정부가 공공·민간 부문의 개인정보 취급자를 대상으로 벌인 '2014년 개인정보보호 실태조사' 결과를 보면 개인정보 유출사고의 원인이 '불필요한 과다 수집'이라는 응답(56％)이 가장 많았다.

박 간사는 "개인정보보호법은 개인정보를 최소한으로, 목적에만 한정해 수집·이용하도록 명시하고 있지만 실제 기업들이 이를 지키지 않는 경우가 많다"며 "이 같은 무분별한 관행을 자정하고 소비자의 고민을 이해하려는 자기반성이 필요하다"고 말했다.

◇ "명확한 지침 마련해 투명하게 알려야"

국내의 대표 IT 기업인 네이버와 다음카카오[035720]는 지난해 불거진 사이버 검열 논란 이후 이용자 신뢰를 되찾기 위해 정부기관의 감청·압수수색 영장 집행 요청 등에 따른 가입자 정보 제공이나 삭제 요청 내역을 담은 투명성 보고서를 각각 내놨다.

사실상 최초 공개라는 점에서 의미가 적지 않지만 단순한 통계 수치를 나열하는 데 그쳐 사법당국의 압박 수위를 낮추고 개인정보 보호 의지를 과시하는 목적에만 치우쳤다는 비판이 제기됐다.

해외 유사 기업들과 비교했을 때 전반적으로 정보 공개 범위가 좁고 내용도 제한적이라는 한계를 드러내기도 했다.

단순한 통계를 넘어 서비스별 자료제공 현황이나 상세한 요청 자료별 정보 제공 내역도 공개해야 한다는 지적이 나오는 가운데 두 업체가 투명성 보고서를 정기적으로 발간하기로 한 만큼 이런 지적이 얼마나 반영될지 관심이 쏠린다.

SK텔레콤[017670], KT[030200], LG유플러스[032640] 등 이동통신사도 올해 초부터 수사기관에 넘긴 정보를 고객 요청에 따라 공개하고 있다.

또 이런 정보를 받으려면 고객이 지정된 영업점을 두 번이나 방문해야 해 번거로웠던 절차가 최근 들어 한 번만 방문해도 가능하도록 간소화되긴 했지만 여전히 부족하다는 비판이 많다.

민주사회를 위한 변호사모임 박주민 변호사는 "인터넷 실명제 폐지 후 수사기관은 대부분 개인정보를 이통사에서 받는다"며 "이통사도 투명성 보고서 발간 같은 노력이 필요하다"고 말했다.

박경신 참여연대 공익법센터 소장은 "이통사들이 온라인 본인 확인 서비스가 신뢰성이 있다고 주장하면서 정작 이런 경우에는 굳이 대리점을 방문하라고 요구하는 것은 이중잣대나 다름없다"며 "투명성 보고서가 이통사들에도 확대돼야 한다"고 말했다.

◇ 법·제도적 보완 필요성도

개인정보 자기결정권이 충분히 보장되려면 ICT 업체들의 자발적인 노력뿐 아니라 법·제도적인 보완도 함께 이뤄져야 한다고 전문가들은 지적한다.

개인정보보호법 제35조에 따르면 정보주체는 처리자를 대상으로 자신의 개인정보 열람을 요구할 수 있으며, 처리자가 이를 거부할 수 있는 예외조항도 있다.

문제는 이런 예외조항이 정보주체의 알 권리를 넘어서 불필요하게 남용된다는 점이다.

이와 관련해 정청래 의원은 사단법인 오픈넷과 함께 정보주체의 열람권 보장 범위를 넓히는 내용의 법 개정안을 발의한 상태다.

아울러 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 2항에 따라 정보통신서비스 제공자는 수집한 개인정보의 이용내역을 주기적으로 이용자에게 통지해야 한다.

다만 수사기관의 요청에 따라 수집한 정보는 제외된다. 수사기관이 영장에 의해 정보를 가져갈 경우 이미 개인에게도 이를 통보해야 하는 의무를 지기 때문에 사업자에게 따로 의무를 부여하지 않은 것이다.

그러나 수사기관이 영장 없이 개인정보를 제출받는 일이 비일비재한 탓에 정보주체가 자신의 정보가 수집된 사실조차 모르는 상황이 벌어진다.

박경신 소장은 "열람을 요청하지 않아도 정보가 훼손·유출됐을 때 사업자가 먼저 정보주체에 주기적으로 통보하도록 의무를 강화하는 쪽으로 법을 개정해야 한다"고 지적했다.

회원 가입·서비스 이용 등을 접수할 때 미리 개인정보를 이용하겠다는 동의를 받기만 하면 된다는 '사전 동의 만능주의'에 빠진 현행 정보수집 관행을 바꿔야 한다는 의견도 있다.

김민호 개인정보보호법학회장은 "이용자 사전 동의는 상당히 민주적인 것처럼 보이지만 내면을 들여다보면 개인정보 보호에 크게 기여하지 못한다"며 "신뢰도가 높은 개인정보 처리자에 한해 사후 동의(옵트 아웃) 방식을 채택해야 산업 발전을 저해하지 않는 동시에 정보보호가 가능하다"고 말했다.

정부는 개인정보 사업자의 자율성을 보장하되 정보유출 시 처벌을 강화하는 내용으로 정보통신망법과 관련 고시를 바꾸고 빅 데이터 관련 개인정보보호 가이드라인을 발표하는 등 대책을 마련하고 있다.

방송통신위원회 관계자는 "사업자가 취급하는 개인정보의 양과 사업 규모에 따라 적절한 조처를 하도록 장려하면서도 책임을 무겁게 지우는 방식으로 정보 보호와 활용의 균형을 맞추는 데 집중할 계획"이라고 밝혔다.

bryoon@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2015/07/07 06:15 송고