연합뉴스TV 

원광디지털대학교 교수SK텔레콤과 롯데카드, 인터파크, KT에 이어 쿠팡까지 지난 7개월 간 해킹 등으로 곳곳에서 개인정보 유출 사고가 끊이지 않고 있다. 이 과정에서 뚫린 개인정보가 6300만 건이 넘는다. 전 국민 수보다 많은 개인정보가 줄줄이 유출되면서 2차 피해나 금융사기 등의 추가적인 위험에 무방비로 노출될 우려가 크다. 개인정보 보호법 강화가 시급하다.

개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 제정된 법이다. AI 시대 기술산업의 발달로 개인정보의 종류와 수집 범위가 일반 신상 정보뿐 아니라 생체인식정보 등으로 급격히 확대되고 있으며, 그에 따른 빅데이터 활용 증가 등으로 인해 개인의 기본권 침해에 대한 우려도 커지고 있다.

사업 규모 확장에 급급한 나머지 기업의 안보 무감각이 극에 달하고 있다. 정부와 국회가 전적으로 책임을 통감해야 한다. 정부는 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서, 로그 분석 결과 3000만 개 이상 계정의 공격 기간이 지난 6월24일부터 11월8일까지라고 밝혔다. 

5개월 전부터 벌어진 유출을 기업도 정부도 모르고 있다가 고객 신고로 알게 됐다. 아무리 생각해도 황당무계하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 하지만, 발등에 불이 떨어지고 나서야 대책을 세우느라 허둥대며 뒷북 대응으로 일관하고 있다.

관련 법·제도적 미비점과 솜방망이 처벌 등이 늘 도마 위에 올랐으나 여전히 제자리걸음이다. 2300만여  명의 개인정보가 유출된 SK텔레콤도 1348억 원 수준의 과징금 부과에 그쳤다. 법 위반 시 매출액의 3%까지로 되어 있는 과징금 부과를 현실화하는 동시에, 기업이 소비자에게 실질적으로 보상하는 방안의 제도화도 검토할 필요가 있다.

SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보 보호법 개정안이 올 3월 12일 이후 23차례나 발의됐지만 정무위원회 심사 단계에서 번번이 계류됐다. 국회와 정부가 말로만 개인 정보보안 강화를 외치고 있으니 직무를 유기한 셈이다.

개인정보 유출로 인한 피해는 일정 시간이 경과한 후 스미싱이나 금융사기, 명의도용 등 다양한 형태로 나타난다. 유출된 개인정보가 다수의 경로를 통해 이동-가공-재판매되기에 피해자가 그 유출과 손해 사이의 인과관계를 직접 입증하는 데 현실적인 어려움이 존재한다.

현행법은 개인정보처리자에게 정보주체의 개인정보 열람, 정정 및 삭제, 처리정지 요구권을 알릴 의무를 부과하고 있지 않다. 제3자로부터 수집한 개인정보를 처리하는 때에는 ‘정보주체의 요구’가 있는 경우에만 수집 출처와 목적을 고지토록 하고 있다. 때문에 피해자 다수는 피해 발생 시 정당한 권리를 행사하지 못하는 실정이다.

또한 공공기관 외 대규모 민간 개인정보처리자의 개인정보 영향평가를 의무화하고 있지 않아, 대량의 민감한 개인정보를 처리하는 개인정보처리자의 개인정보 침해 위험요인에 대한 평가 역시 제대로 이뤄지지 않고 있다.

개인정보 처리 및 수집 단계부터 정보주체에 대한 권리 고지 절차를 강화하고, 공공기관에 한정되어 있던 개인정보 영향평가 의무실시 대상을 민감한 정보를 대규모로 처리하는 민간사업자 등으로 확대하는 등 개인정보 보호를 강화하는 개정 법률안을 총체적으로 재점검해 사후 대책을 수립해야 한다.

원광디지털대학교 교수