민주당 민병두 의원(정무위원회), 이찬열, 진선미 의원(안전행정위원회) , 유승희(미래창조과학방송통신위원회) 그리고 ▴경실련 ▴소비자시민모임 ▴진보네트워크센터 ▴함께하는 시민행동은 12일(수) 오전 국회 정론관에서 개인정보 대량유출을 막을 근본대책을 촉구하는 공동 기자회견을 했다.

 

1억 건이 넘는 대량 금융 개인정보의 유출 사고에 이어, 주민번호를 포함한 1200만 명의 KT 가입자 정보가 유출된 것이 드러났다. 그런데 KT 만의 문제가 아니었다. 어제(11일)는 통신 3사와 금융기관 등의 개인정보 1230만 건이 중국을 경유해 불법 유통되고 있음이 드러났다. 이와 같이 대량 개인정보 유출 사건이 지겹도록 계속되고 있는 것은 비단 특정 기업의 보안대책 미비가 문제가 아니라, 근본적으로는 개인정보 수집부터 감독체계에 이르기까지 우리 사회의 개인정보 보호를 위한 법제도적 환경이 취약하다는 것을 드러내고 있다.

 

그러나 지난 10일 금융위원회와 금융감독원이 발표한 <금융분야 개인정보 유출 재발방지 종합대책>(이하 종합대책)은 금융당국의 권한은 강화한 반면, 그 실효성은 의심되며, 여전히 근본적인 제도적 환경 개선을 외면하고 있다.

 

정보사회의 기반은 ‘신뢰'다. 개인정보 보호체계에 대한 신뢰가 없다면, 인터넷을 통한 모든 서비스나 거래는 사상누각일 뿐이다. 신뢰 회복을 위한 근본 대책을 더 이상 외면해서는 안된다.

 

▣ 통신사, 주민번호 수집 금지하고 본인확인기관 지정 폐지해야

 

공교롭게도 금융 개인정보 유출사건을 일으킨 코리아크레딧뷰로(KCB)와 이번 해킹사건의 당사자인 KT는 모두 방통위가 지정한 본인확인기관이다. 그러나 KCB와 KT가 연계된 개인정보 유출 사고는 본인확인기관 역시 개인정보 유출로부터 자유롭지 않음을 증명한다. KT는 지난 2012년에도 870만 명의 개인정보를 유출한 바 있다. 최근 중국 인터넷 사이트 등을 통해 아이핀 수천 건이 유통되고 있는 것으로 드러났듯이,아이핀 역시 안전하지 않다.

 

본인확인기관의 개인정보 유출은 특히 더 위험하다. 본인확인기관은 내가 어떤 사이트에 가입했는지에 대한 정보, 즉 내 취향이나 관심사에 대한 정보를 포함하기 때문이다. 또한, 모바일 환경에서 다양한 앱을 통해 자동으로 수집되는 개인정보가 증가하고 있음을 고려할 때, 이 정보들이 본인확인 정보와 결합한다면 더욱 끔찍한 사생활 침해를 야기할 것이다.

 

구글, 아마존, 트위터, 페이스북 등 해외 기업들은 굳이 본인확인 없이도 잘 운영되고 있다. 이제 우리도 본인확인기관 지정을 폐지하고, 인터넷에서 불필요한 본인확인을 하지 않도록 법제도를 정비해야 한다. 그리고 민간에서의 주민번호 수집 금지 원칙에 따라, 통신사의 주민번호 수집도 금지해야 한다.

 

▣ 알맹이 없는 <종합대책>, 언제까지 근본대책을 외면할 것인가

이번 <종합대책>은 뒤늦게 나마 신용정보 관리에 개인정보 보호원칙을 적용하고 ‘자기정보통제권'을 보장하려한 것은 긍정적이나, 여전히 근본대책을 외면하고 있다.

 

▸ 금융지주회사 내에 동의없는 개인정보 공유 금지해야

 

<종합대책>은 금융지주회사 내에서 고객의 개인정보를 ‘외부영업'에 이용하는 것만 제한했을 뿐, 여전히 금융지주회사 내 정보주체의 동의없는 개인정보의 공유를 허용하고 있다. 이는 정보주체의 동의없는 제3자 제공 금지라는 개인정보 보호원칙에 위반된다. 우리 사회에서 유독 금융지주회사에게만 특혜를 줄 이유는 없으며, 고객의 개인정보를 우선하는 것이 결국 금융 서비스의 신뢰 회복에 도움이 됨을 알아야 한다.

 

▸ 소비자 집단소송제도 마련

 

개인정보 유출기업에 대한 과징금 부과는 정부의 권한만 강화할 뿐, 소비자에 대한 배상이 될 수 없다. 또한, 지금까지 대량 개인정보 유출에 대해 솜방망이 처벌로 일관해온 정부가 과연 실제로 엄격한 제재를 할 것인지도 의문이다. 기업이 보안에 대한 투자를 하기 위해서는 개인정보를 보유하는 부담을 높여야 한다. 소비자 집단소송 제도는 소비자에게 정보유출로 인한 피해보상과 더불어, 기업들의 책임성을 높일 수 있는 방안이다.

 

▸ ‘국민통제형’ 주민번호에서 ‘변경신청’과 ‘임의번호’가 가능한 주민번호로

 

<종합대책>에서는 최초 거래시에만 주민번호를 수집하도록 하겠다고 하나, 이는 별로 실효성이 없는 대책이다. 여전히 금융기관으로 하여금 주민번호를 보유하도록 하고 있으며, 실제 유출 위험은 금융기관이 보유하고 있는 정보로부터 발생하기 때문이다. 더구나 <종합대책>은 주민번호를 계속 사용해야 할 이유로 “주민번호는 금융부문에서 신용도 조회 등을 위해 정보를 집중하거나, 과세기반 확보(금융소득종합과세 등)를 위해 공공부문과 연계시 유일한 식별값”이라고 하고 있는데, 이는 여전히 개인정보를 통합하는 열쇠로서 주민번호를 활용하겠다는 것이다. 오히려 같은 이유로 주민번호 수집이 금지되어야 하며, 신용조회나 공공부문 연계는 별도의 방법이 도입되어야 한다.

 

이제 국민식별번호를 만능열쇠로 사용하는 국민통제형 체제에서 정보화 시대에 맞는 번호 체제로 개편해야 한다. 현재의 주민번호는 임의 번호체제로 변경하고 필요할 경우 번호를 변경할 수 있도록 하며, 그 사용을 고유목적 외에는 사용할 수 없도록 해야 한다.

 

▸ 개인정보보호위원회의 독립성과 권한 강화

 

개인정보 유출사고가 반복되는 이유 중 하나는 개인정보를 관리, 감독할 컨트롤 타워가 부재하기 때문이다. 개인정보 감독 권한이 각 부처에 분산되어 있으며, 각 정부 부처는 산업 진흥을 명분으로 개인정보에 대한 감독을 소홀히 하고 있다. 현재 개인정보보호위원회가 있지만, ‘심의' 기능만 가지고 있을 뿐, 개인정보 침해사건의 조정, 시정명령, 자료제출요구, 조사권 등 실질적인 권한이 없다. 이번 기회에 개인정보보호위원회의 독립성과 권한을 강화하여, 우리 사회 전반의 개인정보 보호를 일관성있게 추진할 수 있도록 해야 한다.

 

시급하게 개인정보 보호를 위한 근본적인 대책을 마련하는 것은 시급한 민생 현안 중의 하나이며, 여야가 따로 있을 수 없다. 연이은 대량 개인정보 유출에 대한 국민들의 불안감을 해소하고, 향후에 유사한 사고가 재발되지 않도록 3, 4월 국회에서 시급하게 대안을 마련해야 한다.