1월 20일 오전 서울 중구 코리아나호텔에서 열린 카드 3사 기자회견에서 심재오 KB국민카드 사장, 박상훈 롯데카드 사장, 손경익 NH농협카드 분사장(오른쪽부터)이 사과하고 있다(왼쪽). 3월 7일 서울 종로구 세종로 KT 사옥에서 열린 고객정보 유출 관련 기자회견에서 황창규 KT 회장이 머리 숙여 사죄하고 있다.
상황이 이렇다 보니 이제 웬만해선 놀라지도 않는다. 이미 털릴 만큼 털려 더는 털릴 것도 없다는 생각까지 들 정도다. 이제 개인정보는 ‘나의 것’이 아닌 공공재라는 말도 회자된다. 전화번호, 주민등록번호, 카드번호와 유효기간, 계좌정보, 주소 등 이미 모든 정보가 유출돼 더는 받을 충격도 없다는 것이다.
개인정보 유출은 곧바로 생활에 심각한 피해로 이어지고 있다. 가족 내막을 속속들이 알고 전화를 거는 사기단에 당할 재간이 없다. 어머니가 사고로 피를 흘리고 있으니 병원비를 입금하라는 전화부터 아이 유괴를 가장한 보이스피싱도 있다. “결혼 준비 중인 ○○○ 씨 맞으시죠?” “○○○ 씨, 여행사에서 전화드립니다”라며 개인 상황을 정확하게 알고 시작하는 KBS 2TV ‘개그콘서트-황해’는 현실을 과장한 개그 같지만 오히려 현실은 더욱 심각하다.
이렇듯 대규모 개인정보 유출 사건이 잇따라 발생하고 이것이 2차 피해로 이어지는 사건이 속출하면서 정부도 대책을 내놓았다. 과연 개인정보 유출 원인은 무엇이고, 정부 대책으로 유출을 막을 수 있는 걸까.
2차 피해로 이어지는 사건 속출
가장 큰 문제는 기업이 과도하게 개인정보를 수집하는 데 있다. 개인 확인을 위해서는 주민등록번호가 필요하다고 하지만, 주민등록번호가 없는 해외에서도 인터넷 서핑은 물론 전자상거래까지 활성화돼 있다. 회원가입을 하려면 주민등록번호에 전화번호, 주소까지 모두 기입해야 하는 인터넷 사이트가 여전히 많다.
이렇게 과도하게 모은 개인정보를 기업들이 제대로 관리하지 못하는 게 문제다. 개인정보를 수집하는 기업들에 대한 체계적인 관리 규정이 없고, 있다 해도 기업들이 잘 지키지 않는다. 개인정보 유출 사고는 대부분 부실한 내부 관리체계와 허술한 보안이 불러온 인재(人災)다. 신용카드 3사와 KT, 소셜커머스 티켓몬스터 사건 모두 경영진의 낮은 개인정보보호 인식에서 비롯했다고 할 수 있다.
신용카드사 정보 유출 사건은 업무 담당자와 시스템 유지·보수 위탁업체 간 관리 부주의가 원인으로 꼽히며, KT 사태는 기초적인 보안 수칙마저 지키지 않아 일어난 일로 분석된다. 특히 KT는 고객정보를 암호화하지 않고 방치해 너무 쉽게 개인정보가 유출됐다.
2013년 개인정보보호 실태조사(안전행정부·개인정보보호위원회 공동수행)에 따르면 기업 등 민간부문에서 개인정보보호 전담부서를 둔 곳은 1.3%에 불과하다. 72.7%는 전담부서가 없으며, 95.9%는 예산도 없다.
보안 업계 관계자는 “이번 KT 해킹 사건도 웬만한 서비스 업체라면 다하는 암호화를 하지 않은 탓이 컸다”며 “관리 소홀로 볼 수밖에 없다”고 말했다.
물론 개인정보의 중요성에 대해 둔감한 사회 분위기도 문제라고 할 수 있다. 기업이 요구하는 대로 아무 생각 없이 개인정보를 내주는 사례부터 전화번호와 이름, 주소 등 중요 개인정보가 기입된 택배 박스를 아무렇게나 내다버리는 경우도 많다.
3월 10일 서울 종로구 세종로 정부서울청사에서 신제윤 금융위원장, 현오석 경제부총리겸 기획재정부 장관, 최문기 미래창조과학부 장관(오른쪽 두 번째부터) 등이 참석한 가운데 개인정보 유출 재발 방지 종합대책을 발표했다.
3월 10일 금융위원회와 안전행정부 등 정부 합동대책반이 ‘금융 분야 개인정보 유출 재발방지 종합대책’을 내놓았다. 영업에 필수적이지 않은 정보까지 수집해 장기간 보유하는 금융정보 보관 및 유통 관행을 개선하는 데 초점을 맞췄다.
대책에 따르면, 앞으로는 금융상품 가입 시 신청서에 주민등록번호를 기재하지 않아도 된다. 또 소비자가 금융상품에 가입할 때 현재 30~50여 개에 이르는 수집정보 항목을 필수정보 6~10개 등으로 축소하게 했다.
필수정보 외 추가 정보 수집은 ‘계약체결에 필수적이지 않음’을 알린 뒤 고객 동의를 받아 수집해야 한다. 금융회사가 최소한의 정보만 수집하고 고객도 정보 제공 내용을 확실히 알 수 있게 동의서 양식도 개편할 예정이다. 그동안 정보 제공을 거부하면 서비스 이용 자체가 불가능한 경우가 많았지만, 정부는 선택 사항에 동의하지 않더라도 서비스 이용이 거부되지 않게 할 계획이다.
금융회사는 거래 종료 후 개인 식별과 거래정보 외 모든 신상정보를 3개월 내 파기해야 한다. 4분기부터는 본인이 자기정보 이용이나 제공 현황을 직접 조회할 수 있다.
주민등록번호 수집 과정도 개선했다. 소비자가 최초 거래 시 주민등록번호를 전자단말기에 키패드 등의 방식으로 직접 입력하고, 신분증 사본을 금융기관에 제출해야 한다. 이후 거래 시엔 주민등록번호 대신 신분증 등을 이용하게 된다. 이때 금융회사는 수집한 주민등록번호를 암호화해 보관해야 한다.
정부는 POS(Point of Sale·신용카드결제 판매관리 시스템) 단말기 개인정보 유출과 관련한 대책으로 보안 수준이 높은 집적회로(IC) 카드용 단말기 전환 계획도 발표했다. 이 대책에 따라 2016년부터 마그네틱(MS) 카드 사용이 전면 금지되고 보안 수준이 높은 IC 카드만 사용할 수 있게 된다.
VAN(결제대행업체)사에 대한 관리와 감독도 강화키로 했다. 금융당국은 여신전문금융업법 개정을 통해 VAN사에 금융회사와 동일한 정보기술(IT) 안전성 기준을 적용할 방침이다. 앞으로 결제업무에 필요치 않은 개인정보 수집과 보유는 엄격히 제한된다. 카드번호, 본인인증코드(CVC) 등 주요 정보는 암호화해 처리해야 한다.
정부는 개인정보 유출에 대해 기업에도 엄중하게 책임을 묻기로 했다. 금융회사가 불법 유출된 고객정보를 이용하면 관련 매출의 최대 3%까지 과징금 폭탄을 맞게 된다. 정보 유출 시에도 최대 50억 원 과징금이 부과된다.
형벌 수준과 과태료도 대폭 늘어날 전망이다. 개인정보 유출과 불법활용 형벌 수준을 금융관련법 최고 수준으로 격상했다. 정보 유출자는 최대 10년 이하 징역 또는 5억 원 이하(은행법) 벌금을 내야 한다.
그러나 보안 전문가들은 이러한 대책도 중요하지만 근본적으로 개인정보에 대한 기업 인식이 바뀌어야 한다고 강조한다. 사후 대규모 과징금도 효과가 있을 수 있지만 그보다 체계적이고 지속적인 보안 대책을 마련하려면 인력과 예산이 필요하다는 것이다.
한 보안 전문가는 “이미 기업은 네트워크에 다양한 보안 솔루션을 설치했지만 관리 부실로 개인정보가 계속 유출되고 있다”며 “사고 때마다 정부는 각종 대책을 쏟아내지만 이를 실제 이행하고 점검할 조직조차 없는 것이 현실”이라고 꼬집었다.
