정부는 내년에 더욱 강화된 내용의 개인정보보호법 개정안을 시행할 계획이다. 문제는 이런 정부의 움직임에 현장의 목소리가 별로 반영되지 않았다는 점이다. 아직 강화된 개정안이 확정되지 않은 상황에서도 개인정보 보호에 수많은 비용을 쏟아야 하는 기업의 고충이 이만저만 아니다. 심지어 정부 정책으로 이득을 볼 보안업체 관계자조차 “기업의 규모와 상황·업종을 구분해 법을 적용할 필요가 있다”고 말한다.

‘개인정보 이용 동의’ 거래하는 업체도 등장

당장 인터넷 기업의 발등에 불이 떨어졌다. 규모에 따라 작게는 수만명에서 많게는 수백 만명의 고객 정보를 보유한 만큼 민감하게 대응할 수밖에 없다. 서버 또한 인터넷으로 연결돼 있어 해킹과 같은 외부의 위협에 대응할 수 있는 시스템을 갖춰야 한다.

기업은 자신이 가진 데이터베이스를 암호화해 보호해야 하고, 개인정보의 경우 외부 인터넷과 차단된 별도의 네트워크 상에서 관리해야한다. 이러려면 많은 돈이 든다. 상당수 인터넷 기업의 직원들은 외부와 인터넷이 연결된 PC, 그리고 내부 인트라넷만 사용이 가능한 PC 두 대로 업무를 봐야 한다. 이 또한 기업의 비용이다.

일반 중소기업들은 외부 용역으로 컨설팅을 받거나 정부 지침에 따른 솔루션(소프트웨어)으로 대응할 수 있다. 영세 인터넷 사업자들은 지켜야 할 게 많다. 소규모 인터넷 쇼핑몰 운영자나 영세 규모의 게임업체가 대표적인 예다. 데이터베이스 암호화와 별도 서버 구축 비용이 최소 3억원 이상 든다.

인터넷 게임 업체 넥슨 관계자는 “(직원 1인당 추가로 구입해야 하는) PC 구매비용 외에 내부 보안망을 구축하는 데만 10억원 이상 들었다”며 “넥슨이야 게임업계에서는 대기업이라 괜찮지만 규모가 작은 기업이 받을 고충은 생각보다 클 것 같다”고 말했다.

은행·보험 같은 금융회사의 고민도 깊다. 주로 전화나 e메일을 통해 고객을 모집하는데 개인정보보호법 시행으로 영업이 어려워졌다. 잠재 고객에게 전화나 e메일을 보낼 방법이 없다. 개인정보보호법에 따르면 사전 동의 없이 개인정보인 전화번호 e메일을 수집·이용할 수 없다. 동의가 없으니 연락을 못하고 연락을 못하니 동의를 받지 못하는 상황이 발생하는 것이다.

이에 등장한 것이 ‘동의’를 거래하는 업체다. 인터넷 상에서 쿠폰이나 사은품을 주고 개인정보 이용 동의를 받은 후 이를 필요로 하는 기업에 판다. 개인정보의 수준에 따라 다르지만 보통 한 명의 동의를 얻은 개인정보는 약 3만원 선에서 거래가 된다. ‘동의’를 산 기업 입장에서는 추가 비용이 발생하고 이 비용은 소비자 부담으로 전가될 수 있다는 우려도 나온다.

개인정보보호법 조항 자체에 대한 불만도 나온다. 법에서 정의하는 개인정보의 개념이 모호하다는 것이다. 이로 인해 문제가 됐던 사건이 ‘증권통 사건’이다. 3년 전 이토마토증권은 스마트폰용 실시간 증권정보 서비스 애플리케이션 ‘증권통’을 출시했다. 하지만 출시 후 얼마 되지 않아 ‘불법으로 개인정보를 대량 수집했다’는 혐의로 검찰에 기소됐다.

검찰이 말하는 개인정보는 이용자들의 스마트폰 기기 고유번호와 유심(USIM) 번호였다. ‘이들 번호만으로는 개인정보라 할 수 없지만 통신사가 보유한 정보와 결합하면 개인의 신상이 고스란히 노출될 수 있다’는 게 검찰의 해석이다. 이토마토 입장에서는 통신사 정보를 가지고 있지 않아 개인정보 접근이 힘들다고 주장했지만 받아들여지지 않았다.

애매한 법조문이 경영 리스크로 작용

검찰 기소의 근거가 된 법은 개인정보보호법·정보통신망법 3장·저작권법 103조다. 이들 법마다 개인정보로 규정하는 내용이 조금씩 다르다. 이 세가지 법을 모두 충족시키기 위해서는 사실상 기업은 단 하나의 정보도 고객 동의 없이는 제공받을 수 없다. 기업이 어떠한 정보를 취득했을 때 그 정보가 직접적인 개인정보가 아니라고 하더라도 여러 가지 정보를 조합하거나 유추해 한 개인의 신상을 알아낼 수 있으면 위법이 될 수 있다.

최민식 인터넷기업협회 실장은 “개인정보에 대한 개념이 모호해 기업 입장에서 상당한 리스크를 감수해야 한다”며 “법을 완벽히 지키자니 사업 자체가 불가능하고, 괜찮을 것 같다는 생각에 사업을 진행했다가 추후에 화를 입을 수도 있다”고 우려했다.

개인정보보호법은 최근 정보기술(IT) 업계의 화두인 빅데이터 산업에도 차질을 빚게 할 수 있다. 빅데이터는 평소 무의미하게 저장하거나 폐기하던 방대한 양의 데이터를 빠른 시간 내에 분석해 개인의 편의를 증진하고 마케팅에 활용하는 기술이다. 지난해 가트너·딜로이트·삼성SDS·한국정보화진흥원 등 국내외 업체·기관들이 한결 같이 주목할 기술로 빅데이터를 꼽았다.

고객들의 쇼핑 패턴을 분석해 마케팅과 매장 물건 배치에 활용하거나, 개인의 관심사나 취미를 분석해 필요한 사람에게만 e메일 마케팅을 하는 등 성공 사례도 속속 등장했다. 정부도 각종 지원책과 관련 사업 활성화 방안을 마련하는 등 산업 육성 의지를 적극 내비쳤다.

하지만 개인정보보호법 때문에 그 길이 막히게 됐다. 지금 법안대로라면 빅데이터는 물론이고 데이터라고 부를 만한 자료를 수집할 수 없는 상황이다. 사실 빅데이터와 개인정보 보호 중 어느 것에 우선순위를 둘 것인가는 오래 전부터 논란거리다. 수년째 관련 논의가 이어졌지만 정부는 뚜렷한 해법을 내놓지 못했고 업계의 반발만 커졌다.

LG경제연구원 손민선 책임연구원은 “빅데이터 기술은 빠르게 발전하는데 법과 제도가 이를 따라가지 못하고 있다”며 “지금이라도 빅테이터 기술의 법적 허용 범위를 정확하게 만들어두지 않으면 빅데이터 기술 개발에 도전하는 국내 기업의 성장에 큰 장애가 될 것”이라고 경고했다

빅데이터(Big Data) 일반적인 기술로는 다룰 수 없을 만큼의 방대한 양의 데이터를 뜻한다. 하지만 정확하게 특정 용량을 지칭하는 것은 아니다. 세계적인 컨설팅 업체 맥킨지는 “기존 데이터베이스 관리 도구의 역량을 넘어서는 데이터를 뜻하며 산업 분야에 따라 상대적인 개념”이라고 정의했다.