대한 개인정보영향평가 실시 등 관리적으로나 기술적으로 보호조치가 강화되지 않은 현실이다.
한 편, 주민등록번호 제도의 근본적 인권침해를 회피한 활용 차원에서의 대책에 그칠 뿐이라는 비판의 목소리도 높다. 주민등록번호의 종생불변성에서 비롯되는 인권 침해적 요소를 그대로 덮어둔 채 그 사용의 행태에 대해서 규제하는 방식만으로는 근본적 문제를 해결하기에는 역부족이라는 것이다.
또한, 금융위원회는 공공 i-PIN제도를 도입해 해킹 등 웹상 침해로부터 개인정보가 외부로 유출돼 악용되지 않도록 i-PIN인증을 동원, 주민등록번호 수집제도를 개선하였다고 설명하고 있으나 i-PIN발급을 담당하는 민간 신용정보업체가 제도의 집행을 위해 국민으로부터 주민등록번호를 합법적으로 수집하고 저장한 후 영리목적으로 이용하므로 결국 정보인권에 또 다른 위협이 되는 것이 아닌가 하는 의문을 품게 한다. 또, 신용정보업체들이 본인확인용으로 사용하는 이름과 주민등록번호의 합법성도 명확하지 않다. 특히 대한민국국민 다수의 주민등록번호가 이미 유출되었으므로 도용가능성이 남아있는 것이다. 정부가 권장하는 대체수단 역시 기존의 개인정보를 기반으로 할뿐더러, 고유 식별 번호를 요구하는 이중인증은 장기적으로 또 다른 개인정보의 침해를 조장할 가능성이 높다는 게 기업보안담당자들의 설명이다.
해외 정책과 사례에서 찾은 대안
그렇다면, 개인정보침해에는 어떻게 대처해야 하는가.
개인정보유출사고의 원인을 토대로 해결책을 논하자면 수집의 대상이 되는 개인정보 자체의 가치를 줄이는 것이 옳다고 본다. 하나의 방법으로는 수집하는 정보를 최소화해 개인정보의 가치를 낮추는 법이 있다. 국내 웹 포털사이트 대부분에서는 지나치게 많은 개인정보를 입력해서라도 가입하게끔 유도하고 있는데 반해, 미국과 일본 등 해외 사이트에 가입할 때는 OECD의 ‘개인정보보호 8원칙’(표1)과 UN의 ‘전산 처리된 개인정보파일의 규율에 관한 가이드라인’(표2)에 따라 그저 성별과 이메일주소 정도만이 필요하다. 그러므로 유출될 개인정보 자체가 없어 자연히 침해당하지 않게 되는 것이다.
다른 방법으로는 고유 식별 번호 부여제도의 폐지 유엔 인권이사회는 2008년 보편적 정례 인권상황 검토(UPR) 1차 심의에서, 대한민국 정부에 “사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것”을 권고함
가 있다. 우리나라는 주민등록번호가 개인인증수단으로 활용되고 있어 주민등록번호를 통해 접근하고 활용할 수 있는 정보가 많다. 주민등록번호는 종생불변하기 때문에 극도로 보안에 유의해야 함에도 불구하고 말이다. 그러므로 주민등록번호에 대한 의존성을 낮춰야할 필요성 또한 있다. 물론 미국에도 주민등록번호와 흡사한 사회보장번호가 있긴 하지만, 이는 관공서에서의 서류 조회 등 한정적인 경우에 단발성으로만 사용되며, 이러한 경우에도 왜 사회 보장 번호가 필요한 지 설명을 부가해 고객의 불안감을 없애려 노력하고, 특별한 개인정보를 담고 있지도 않으며, 번호의 변경도 가능하다.
개인정보보호 교육의 필요성
정보통신기술 발달은 업무 서류들이 전자·온라인화 되어 정보공유 및 검색이 빨라지는 특징을 가지게 하였다. 그리하여 수집된 개인정보가 유출된 후 빠른 기간 내에 넓게 전파되는 문제가 있어 개인정보보호가 중요하다는 인식과 관리체계의 확충으로 개인정보 침해의 발생과 내부정보 유출의 빈도를 최소화하는 것이 필요해졌다.
특히 2011년 9월 30일부터 개인정보보호법이 시행되어 법을 준수해야 하는 개인정보처리자의 범위가 공공과 민간을 포함하도록 확대된 후로 행정기관을 통한 감시·감독 기능에 한계가 있어, 개별 개인정보처리자의 개인정보보호 인식제고가 더 중요하게 대두되었다. 이로 인해 공공기관에서는 기관별로 사이버 교육과 전문 강사를 초빙한 순회 교육을 실시하게 되었지만 민간부문에서는 아직도 교육이 부족한 실정이다. 개인정보 유출사례를 보면 기술적으로 부족하게 조치를 취한 원인과 함께 인식과 교육의 부족 때문에 일어난 사고 역시 빈번히 발생하고 있기 때문에 개인정보보호 교육을 통한 인식제고는 필수 불가결해졌다고 할 수 있다. 또, 새로운 개인정보보호법 제정 및 시행으로 달라지는 내용들을 각 기관들, 그리고 민간 사업자들에게 전달하는 교육을 개인정보보호 컨퍼런스 개최 등을 통하여 실시할 필요가 있다.
Ⅳ. 마치며
개인정보유출과 침해로 발생하는 피해는 일반적인 민사 분쟁과는 다르게 피해 규모나 파장이 크고 빠르다. 개인정보의 유출이나 악용에 의한 피해는 동시에 다수의 피해자가 생겨날 수 있으며 정신적 피해와 재산적 피해를 포함, 그 피해액을 정확히 예측하거나 산정하기 어렵다. 그러나 사회문화적으로 권리문제에 일찍이 관심을 가져온 EU과 북미권에서 개인정보보호를 둘러싼 다양한 법제와 정책을 1970년대부터 구축해온 사례와 달리 아직 우리나라에서는 그 중요성을 고려할 때 정책적인 기반이 미흡한 것이 사실이다. 이에 따라 국가차원에서 개인정보보호법이 도입된 만큼 본격적으로 개인정보보호 체계 구축을 위한 노력을 다져나가야 하며 또한 국가기관 뿐만 아니라 민간에서도 개인정보와 그에 따른 권리에 대한 인식을 제고시켜 나아가야만 쾌적한 정보생활을 영위할 수 있을 것이다.
참고문헌
디지털타임스, 신동규 2012.07.10 18면
보안뉴스, 김경애 2013.05.09
솔데스크 IT Academy - 개인정보 유출을 하는 원인과 사례, 그리고 해결방안
보험연구원, 변혜원 - 개인정보관련 리스크관리와 보험산업, 2012. 02. 10
한국과학기술정보연구원 - 네트워크 경계가 소멸되는 IT환경에서 조직의 정보보호 대책 전망, 2011. 04. 25
한국정보보호진흥원, 안전한 정보사회구현을 위한 EU의 정보보호전략과 연구개발, 2008. 09.
V3, Enisa warns CERTs are failing on data sharing and proactive threat detection, 2011. 12. 08.
개인정보보호위원회 - 개인정보보호연차보고서(Personal Information Protection Annual Report), 2012.