개인정보 범위 모호한데 외국보다 가혹한 규제 … 부가가치 날만한 정보까지 사장될 우려

개인정보보호법 개정안이 6월에 국회를 통과해 내년 8월 시행된다. 2011년 9월 30일 시행된 법을 강화한 것이다. 예컨대 개인의 동의 없이 누구도 주민등록번호를 수집하거나 이용할 수 없도록 바꿨다. 개인정보를 악용한 보이스피싱, 개인정보 유출과 명의 도용 피해가 끊이질 않아서다. 정부는 개인정보를 더욱 강력하게 보호한다는 입장이다. 업계·학계의 입장은 좀 다르다. 개인정보의 범위가 모호하고 처벌 강도가 너무 강해 개인정보 보호나 기업 활동에 오히려 방해가 된다고 주장한다.

2007년 하나로텔레콤(600만건), 2008년 옥션(1800만건)·GS칼텍스(1150만건), 2011년 SK커뮤니케이션즈(3560만건)·넥슨(1320만건), 2012년 EBS(400만건)·KT(870만건)…. 최근 기업에서 발생한 개인정보 유출 사고다. 지난 3년간 개인정보 침해 사고로 8700만건에 달하는 개인정보가 유출됐다.

보이스피싱 등 직접적 피해 금액만 연 평균 600억원이 넘는 것으로 나타났다. 한국인터넷진흥원(KISA) 개인정보침해신고센터에 접수된 개인정보 침해 신고·상담 접수 건수는 2010년 5만건에서 2011년 12만건으로 늘었다.

증가세는 지금도 이어지고 있다. 지난해 접수된 개인정보 침해 신고·상담건수는 전년 대비 36% 이상 증가한 약 16만건으로 집계됐다.

사생활 침해와 개인정보 오·남용에 따른 폐해가 속출하면서 정부가 개인정보 보호에 칼을 빼 들었다. 올해 발의된 개인정보보호법 개정안은 모두 5개다. 정보통신망 이용촉진 및 정보보호법(이하 정보통신망법법) 개정안은 19대 국회 들어서 32개가 소관위원회에 접수됐다. 이 중 대다수가 개인정보보호를 강화하기 위한 조치다. 지난해 8월에는 인터넷 상에서 주민등록번호 수집·이용을 제한하는 정보통신망법 개정안이 통과해 계도기간을 거쳐 올해 초부터 시행됐다.

불과 수년 전만 하더라도 한국은 개인정보 보호에 취약한 국가였다. 더 정확히 말하면 무지했다. 개인정보에 대한 인식 자체가 부족했다. 많은 전문가와 시민단체의 비난을 받았다. “일반 기업의 인터넷 홈페이지 가입 때 개인고유식별번호(주민번호)를 당당히 요구하도록 방치하는 국가는 한국이 유일하다”는 비판도 나왔다. 이에 정부도 다양한 대응책을 내놨다.

그 결과물이 아이핀이다. 주민번호 대신 개인이 따로 아이디와 비밀번호를 정부가 지정한 기관으로부터 발급받아 주민번호 대신 사용하는 제도로 2006년 도입했다. 하지만 홍보 부족과 사용의 불편함으로 널리 쓰이진 않았다. 아이핀 역시 해킹을 당해 유출되면 주민번호 노출과 다를 바 없는 위험이 있다는 문제점도 지적됐다. 시행 8년째를 맞는 올해까지 1000만여개의 아이핀을 발급하는데 그쳤다.

개인정보 무지 국가에서 과잉보호 국가로

아이핀 도입 외에는 별다른 움직임이 없었던 정부가 다시 나섰다. 2011년 9월 개인정보보호법을 제정한 것이다. 개인정보보호법은 모든 공공기관·사업자·비영리단체 등 모든 개인정보처리자를 규율하는 일반법이다. 우리나라에서는 개인정보보호법 외에 정보통신망사업자를 대상으로 하는 ‘정보통신망법’, 금융회사를 대상으로 하는 ‘신용정보보호법’ 등 개별법에서 부분적으로 개인정보 보호를 규율하고 있다. 일반법인 개인정보보호법은 이들 개별법이 놓치는 전 분야를 포괄하는 셈이다.

이 법은 2004년부터 꾸준히 논의됐다. 법이 시행되기까지 7년이 넘는 시간이 걸렸다. 오랜 기간을 준비했음에도 현장의 반응은 탐탁지 않다. 곳곳에 모호한 법 조항이 많아 기업이 볼멘소리를 했다. 충분한 홍보 기간 없이 전격적으로 법이 시행되면서 적절한 대응책 마련에 고심하는 기업도 늘고 있다. 법을 완벽하게 지키기 위해서는 들어가는 비용 또한 만만치 않다.

미국에선 대체로 시장 자율에

이 와중에 올해 6월 개인정보보호법을 오히려 강화하는 개정안이 국회를 통과했다. 내년 8월 시행을 앞두고 있다. 이 법이 시행되면 정보통신망 사업자뿐 아니라 정부 공공기관과 민간 사업자가 주민등록번호 수집과 이용을 할 수 없게 된다. 정보통신망법으로 온라인에서만 규제하던 주민등록번호 수집이 오프라인에서도 금지된다.

기업의 책임도 지금보다 강화돼 개인정보 유출 사고가 발생했을 때 해당 기관의 대표자나 임원의 징계를 권고할 수 있게 됐다. 유출 사고에 대한 기업과 최고경영자에 대한 제재의 범위가 넓어지고 강도가 세진 것이다.

이와 함께 안전행정부와 금융위원회·금융감독원은 개인정보보호법을 바탕으로 은행·보험·증권 등 금융회사가 고객 개인정보를 안전하게 보호하기 위해 지켜야 할 기준과 원칙을 담은 금융분야 개인정보보호 가이드라인을 발간했다. 기존 금융 관련 법령과의 적용관계 등을 정리하기 위해서다.

이에 따라 앞으로 은행·보험·증권업체가 거래(계약) 소비자에게 부가서비스를 제공하거나 마케팅 목적으로 개인정보를 수집할 경우 반드시 고객 동의를 받아야 한다. 외부 유출 피해가 만연한 소비자 주민등록번호에 대해서도 금융회사의 보호 의무 및 책임이 한층 더 무거워진다. 이에 소홀한 금융회사는 최대 5000만원의 과태료를 부과 받는다. 금융계 외에도 정부는 분야별로 일반법과 개별법 관계를 정리하는 등 개인정보 보호에 박차를 가하고 있다.

이처럼 정부가 개인정보 보호에 적극적인 이유는 개인정보가 디지털화하고 모바일 시대가 열리면서 개인정보 유출 위험이 덩달아 커진 때문이다. 정보화시대에 개인정보 보호는 중요한 부분이다. 디지털화한 몇 개의 정보가 공공·금융 등 온라인 서비스 영역에서 ‘나’를 증명한다. 안전행정부 관계자는 “개인정보 보호와 통제의 필요성이 더욱 커졌다”고 강조했다.

그러나 일각에서는 정보통신망법·개인정보보호법 등 개인정보보호 법제 개정이 필요하다는 주장을 제기한다. 지나친 개인정보 보호가 오히려 부작용을 낳는다는 지적이다. 이인호 중앙대 법학전문대학원 교수는 “개인정보 유출 가능성을 없애는 데만 초점을 맞추느라 ‘활용이 필요한 개인정보’와 ‘보호가 필요한 개인정보’를 구분하지 못하고 있다”고 말했다. 균형을 맞춰야 할 개인정보의 활용과 보호라는 두 가치 사이에서 보호에만 치중했다는 설명이다.

전문가들은 개인정보의 정의가 모호해 쓸모 있는 대다수 정보까지 활용하기 어려워졌다고 입을 모은다. 현행법에서 ‘개인정보’는 ‘다른 정보와 결합해 사람을 알아볼 수 있는 정보’로 규정한다. ‘결합해’라는 문구를 어떻게 해석하느냐에 따라 단순 정보까지도 개인정보에 포함될 수 있다. 동의 방식도 문제다.

구태언 테크앤로 법률사무소 대표 변호사는 “모호한 개인정보 개념 탓에 동의 절차가 남발되고 있다”며 “이로 인해 약관 화면만 나오면 동의를 누르는 등 절차 자체가 유명무실해졌다”고 꼬집었다. 디지털 시대의 성장동력인 빅데이터와의 충돌도 불가피하다. 최근 보험업무에 필요한 정보가 어디까지인지를 두고 개인정보 ‘이용’과 ‘보호’가 첨예하게 대립하고 있는 보험협회의 정보수집 범위 논쟁도 같은 맥락이다.

다른 나라에서는 어떻게 하고 있을까. 유럽연합(EU)이나 미국은 개인을 쉽게 식별할 수 있는 식별가능 정보를 예시적으로 열거해 개인정보 범위의 확대를 방지하고 있다. 특히 미국은 한국의 개인정보보호법과 같은 일반법을 마련하지 않고 한국의 정보통신망법이나 신용보호법과 같은 개별법을 기반으로 시장의 자율규제에 맡긴다.

일본은 우리나라 개인정보보호법의 정의와 매우 비슷하다. 다만 일본의 개인정보보호법은 처벌 규정에 시정명령이라는 완충장치가 있다. 시정명령을 위반할 경우 6개월 이하의 징역 또는 50만 엔 이하의 벌금에 처한다.

우리나라의 개인정보보호법은 규정을 위반했을 때 5년 이하의 징역에 처할 수 있다. 비밀침해죄나 업무상비밀누설죄가 3년 이하의 징역인 점을 감안하면 비교적 형량이 높다. 구 변호사는 “코에 걸면 코걸이 식으로 개인정보에 대한 정의가 포괄적인 상태에서 법정형이 높아 법률적인 위험성이 존재한다”고 설명했다.

개인정보보호가 뚜렷하지 못한 법안이라는 비판에 대해 개인정보보호 심의·의결 기관인 개인정보보호위원회 관계자는 “해외에서도 개인정보의 범위와 동의 절차에 대한 논쟁이 일고 있다”며 “개인정보의 이용과 보호는 결국 판례와 해석이 들어갈 수밖에 없기때문에 법률안 개정만으로는 풀기 어려운 문제”라고 말했다.

정부의 개인정보 보호 강화 조치가 시장에 미치는 영향은 다차원적이다. 올해 2월 개정 시행된 정보통신망법으로 인터넷 게임·쇼핑 업체가 겪은 ‘주민등록 대란’이 대표적인 사례다. 주민등록번호 수집과 이용이 전면 금지되면서 23만여 인터넷 업체들이 대체 수단을 찾아야 했다. 중소 업체들은 추가적인 비용 부담 문제를 호소했다.

일부 대기업을 제외하면 대부분이 중소기업인데 새로운 본인 인증 체계를 위한 시스템 구축비용이 부담이다. 특히 게임 업체들은 청소년이 밤에 게임을 할 수 없도록 규제하는 셧다운제와의 상충 문제도 골치였다. 한 게임업계 관계자는 “주민번호없이 이용자 나이를 파악하기 위해 외부 실명기관에게 추가 비용을 지불해야 했다”며 불만을 터뜨렸다.

“중소·벤처업계에 더 불리”

보안시장은 개인정보보호법 개정 등 개인정보 보호 강화 추세에 맞춰 특수를 누리고 있다. 이들 기업이 성장할 수 있었던 것은 개인정보보호법 제24조 3항에 힘입어서다. 이 조항에 따라 개인정보 처리자가 고유 식별 정보를 처리하는 경우 암호화 등 안전성 확보에 필요한 조치를 취하도록 규정한 때문이다. 이 조치가 미흡한 경우 해당 개인정보 처리자 또는 그 기관의 대표자가 처벌 받을 수 있다. 기업 입장에서는 비용을 감수하고 보안업체를 쓸 수 밖에 없는 것이다.

아이핀(IPIN) ‘인터넷 개인 식별 번호(Internet Personal Identification Number)’의 약자로 주민등록번호 대신 인터넷 상에서 신분을 확인하는 데 쓰인다. 기존 주민등록번호로 실명을 인증하는 것과 비슷한데 웹사이트마다 일일이 실명과 주민등록번호를 입력하는 불편함을 덜어준다.