인터넷/정보보호

개인정보 보호를 위한 기업의 노력과 근원적 고민

마냐 2011. 9. 2. 02:21



31일 국가인권위원회에서 열린 '기업의 개인정보 수집과 보호' 토론회에서.. 토론문. 


대체로...절대.. 기록으로 남기는데 소심해져서...토론문은 쓰지 않고 말로 때우는데, 이날 N사의 L님께서 너무나도 훌륭한 토론문을 일찌감치 내시는 바람에...어쩔 수 없이 마감날밤에 급조. 하여간에... 이날 토론회는 생각보다 재미있었다. 특히 "위치정보법은 없어져야 마땅한 법. 왜 있는지 모르겠다"고 단호하게 조목조목 말해준 김보라미 변호사님께 많이 배운다.  이날 전체 자료집은 파일로 올려둔다. 


 
여튼 기업이 보안 사고치고 책임 지지 않겠다는 얘기가 아니라, 책임이 너무 무겁고, 완벽한 보안은 어려우니..차라리 정보를 덜 수집보관저장하고 싶고..이런저런 고민의 이야기다. 

 --------------
 
 “포털이 개인의 정보에 대해 너무 많은 것을 요구하는 것은 문제이다. 해외 사이트의 경우 자신의 ID와 패스워드만 있으면 가입이 가능한데 반해 국내에서는 ID를 발급받기 위해 주민번호, 집 주소, 집 전화와 휴대폰 번호까지 의무적으로 기록해야 하기 때문이다.” (2011.8.29 A사 보도)


개인정보 유출 사고 불감증이 우려되는 시대입니다. 금융기관과 전자상거래 업체, 포털까지 줄줄이 개인정보 유출 사고가 이어지고 있습니다. 법원은 네이트와 싸이월드의 개인정보 유출 피해자에게 위자료를 100만원을 지급하라는 약식 명령을 내렸습니다. 만약 이 명령이 최종 판결까지 이어질 경우, 100만원 대신 10만원 정도로 감경된다고 하더라도, 또 3500만 명 중 1000만 명에게만 보상한다고 해도 1조원이 소요됩니다. 단지 “포털이 개인 정보를 너무 많이 요구하는게 문제”라고 한다고 해도 이 같은 위험을 기업이 부담할 수 있을지 의문입니다. 

더구나 이날 언론 보도는 “개인정보가 유출된 회원들은 앞으로 위자료 지급 등 각종 소송에 나설 것으로 보인다…SK컴즈는 회원들의 이런 집단 움직임에 '우리로서는 최선을 다했다' '아무리 철저한 보안시스템이 있더라도 해킹하기로 맘 먹으면 어쩔 수 없다'는 등의 변명은 늘어놓지 않기를 바란다”라고 지적합니다. 

쉽게 복제되고 유출 시 여파가 빠르게 확산되는 디지털 정보의 특성 상 인터넷 기업은 정보보호를 위해 막대한 노력을 기울이고 있습니다. 그러나 보안사고를 100% 막을 수 있는 시스템이 현실적으로 존재하는 것이 아니기 때문에 정보 유출을 막기 위해 각종 법적 기준을 준수하고, 적지 않은 예산을 투입해 최선을 다할 뿐입니다. 이에 대해 “최선을 다했고, 아무리 철저한 보안시스템이 있더라도”라는 식의 구차한 변명조차 어렵다면, 기업의 무한 책임은 엄청난 부담이 됩니다. 기업 입장에서도 보다 근본적인 해결책을 고민하지 않을 수 없습니다. 



어떻게 하면 100점 정보보호가 가능할까

네이트 사태 이후, SK커뮤니케이션즈가 정보보호관리체계(ISMS) 인증을 받지 않았으며 개인정보보호관리체계(PIMS)인증도 올 3분기 심사 예정이었다는 점이 도마 위에 올랐습니다. 하지만 SK커뮤니케이션즈는 2009년 정보보호관리체계 국제표준인증인 ISO27001을 획득한 바 있습니다. 국제표준화기구(ISO)의 정보보호 경영시스템으로, 정보보호 표준 중 유일한 국제인증이라는 ISO27001은 대형 보안사고를 낸 농협도 지난 2007년 받았습니다. 당시 농협은 인터넷 뱅킹 뿐 아니라 포털, 농협e쇼핑, 금고지원시스템까지 IT보안 서비스 대부분을 포함해 인증을 받았다고 밝혔습니다. 농협은 2008년 방송통신위원회가 주최하는 정보보호 대상 시상식에서도 기술적, 물리적, 관리적 정보보호 수준에 대한 서류 및 현장 심사를 거쳐 우수상을 수상했습니다. 이처럼 기술적 보호조치 의무 기준을 강화하고, 개인정보관리체계 인증을 확대한다고 해서, 사고가 100% 예방되지는 않습니다. 법적 기준은 물론, 사회적 합의에 비해 훨씬 더 허술하고 보안에 신경쓰지 않은 ‘정보 유출 인재’도 적지 않지만, 각종 노력에도 불구하고 ‘재해’ 수준의 보안 사고 가능성을 완전히 배제할 수 없습니다. 


보안 위협에서 보호해야 할 정보를 차라리 줄여볼까

완벽한 정보보호가 불가능하다면, 보안 노력에 최선을 다하되 동시에 기업이 보유하고 있는 정보를 아예 줄여나가는 방안도 모색하지 않을 수 없습니다. 해외 사이트들도 늘 보안사고의 위험에 노출되어 있지만, 수천만 개인정보가 일시에 유출되는 일은 없습니다. 기본적으로 주민번호를 비롯해 각종 ID 번호를 요구하지 않기 때문입니다. 언론 보도처럼 포털이 개인정보를 과도하게 요구하는 것이 문제라면 이를 줄여나가는 노력이 병행되어야 합니다. 

그동안 인터넷 기업들은 정보통신망 이용촉진 및 정보보호에 관한 법률 제44조의 5(게시판 이용자의 본인확인)에 근거해 게시판에 글을 쓰는 이용자에게는 본인 확인 절차를 요구했으며 동법 시행령 제29조(본인확인조치)에 근거해 “본인확인정보”를 정보 게시 후 6개월까지 보관하는 법적 의무를 다했습니다. 또한 전자상거래 등에서의 소비자보호에 관한 법률 제6조(거래기록의 보존등)에 근거, “거래의 기록 및 그와 관련된 개인정보(성명.주소.주민등록번호 등)”를 보존해야 하는 법적 의무를 준수해왔습니다. 

그러나 네이트 사태 이후 이 같은 법적 의무 이행 방식에 대해 처음으로 문제가 제기됐습니다. 인터넷 기업이 본인확인 정보만 보관하면 되는데 주민번호를 과도하게 수집, 보관, 저장하는 것은 관행 탓이라는 지적과 전자상거래법도 개인정보 예시를 든 것일 뿐 굳이 주민등록번호여야만 하는 것은 아니라는 분석이 등장했습니다. 그동안 매년 정기적으로 진행된 감독당국의 정보보호 실태 점검에서 단 한번도 지적되지 않았던 사항이지만, 이 같은 지적이 이제라도 나온 것은 정보보호에 대한 각계의 고민이 그만큼 깊어진 덕분이라고 볼 수 있습니다. 


본인확인만 하고 주민등록번호를 폐기할 수 있을까

제한적 본인확인제의 도입 취지는 악플을 방지하고 불법행위자를 추적, 처벌하기 위한 것입니다. 본인확인 yes/no 값만 저장할 경우, 이를 실제 당사자와 매칭할 수 있는 시스템을 본인확인 절차를 진행하는 신용평가회사 등에서 갖춰야 합니다. 실제 최근 한 신용평가회사에서 이 같은 준비를 하는 것으로 알려졌는데 각 신용평가회사는 금융기관과 연계, 일부 국민의 개인정보만 갖고 있기 때문에 전체 신용평가회사가 동시에 나서지 않는다면 무의미 합니다. 

이와 함께 기업마다 다르지만, 휴대전화 인증이나 공인인증서 인증 등의 방법은 제외하거나 변경하고 신용평가회사 활용 시스템으로 일원화해야 할 수도 있습니다. 민간 기업에 불과한 신용평가회사로 개인정보가 집중되는 상황의 보안 문제는 더욱 심각하게 고민할 지점입니다.

더불어 기존 14세 인증에 16세 인증을 추가 도입해야 하는 청소년보호법과 게임산업진흥에 관한 법률 개정안은 물론, 성인 인증이 필요한 경우에 대비, 본인확인값 외에 나이에 따른 분류값을 추가로 부여해야 할지도 고민해야 합니다. 본인확인 정보만으로는 중복 가입을 제한하기 어렵기 때문에 별도의 시스템을 갖춰야 합니다.

거의 모든 기업과 정부, 공공기관이 온라인/오프라인 제휴를 주민등록번호 기반으로 진행하는 현실도 감안해야 합니다. 어느 특정 기업이 주민등록번호를 먼저 폐기하기로 결정한다면, 각종 마케팅과 제휴를 중단하거나, 혹은 파트너들과 함께 다른 키값을 적용하는 방안을 모색해야 합니다. 마케팅 목적의 주민등록번호 보관을 금지하는 등 강력한 법적 조치가 병행되지 않는 한 쉽지 않은 현실입니다. 


그런데 왜 본인확인은 포기할 수 없을까

앞서 모든 노력을 동시에 진행한다고 해도, 근본적으로 왜 이 같은 시스템을 갖춰야 하는지 의문을 제기하지 않을 수 없습니다. 본인확인시 주민등록번호를 입력하고 바로 폐기하는 방안을 다각도로 연구한다면, 제한적 본인확인제는 절대 포기할 수 없는 것인지 따져볼 필요가 있습니다.

악플 방지를 위한 제한적 본인확인제는 2007년 정보통신부가 발의한 정보통신망법 개정안을 여야 국회의원들이 압도적으로 지지하면서 도입됐습니다. 그러나 이후 악플이 감소됐다는 유의미한 조사 결과도 없으며 실제 악플 문제는 여전히 사회적 이슈여서 실효성 논란이 확산되고 있습니다 국내 기업과 경쟁하는 외국계 기업은 적용받지 않아 역차별 논란도 이어지고 있으며 소셜댓글이 규제 회피 방안으로 등장하기도 했습니다. 이와 함께 오히려 과도한 개인정보 유출의 근본 원인으로 지적되고 있습니다. 고의적 범죄를 저지르는 자는 대개 남의 주민등록번호를 도용, 규제를 회피합니다. 실제 범죄 수사에서는 본인확인 정보보다IP 추적 등 기술적 방법이 가능합니다. 헌법재판소는 이 제도의 위헌 여부를 심리하고 있습니다. 방송통신위원회도 이 같은 문제를 인지하고 2010년 4월 규제개선TFT를 구성하기도 했습니다.

결국 주민등록번호를 활용해 본인확인을 한 뒤, 폐기하기 위해 각 기업의 회원정보 시스템을 뜯어고쳐야 한다면, 아예 주민등록번호 없이 서비스가 가능하도록 시스템을 고민하는 편이 합리적일 수 있습니다. 주민등록번호를 본인확인 인증 업체에 몰아주는 것도 적절치 않습니다. 이미 주민등록번호 수집, 보관, 저장의 기술적 비용적 부담이 중소기업 진입장벽으로 작용하고 있는데 암호화를 비롯해 각종 기술적 보호조치를 강화하기에 앞서 보호 대상 정보 자체를 포기하는 방안을 모색하는 것이 바람직할 수도 있습니다. 


위치정보와 결합되면서 더 심각해진다면 

다음은 지난 5월 모바일 광고플랫폼인 Ad@m을 통해 개인이 식별되는 위치정보를 동의 없이 수집했다는 의혹과 관련, 경찰의 압수수색을 받았습니다. 중소 앱 개발자나 업체에서 모바일 광고 개발/운영/영업 부담을 줄일 수 있도록 해주는 인터넷 생태계의 상생 모델로서 현재 1200여개 앱이 채택하는 등 좋은 호응을 얻고 있지만 개인위치정보 불법 수집 의혹이 제기됐습니다. Ad@m이 수집한 것은 모바일 앱에서 광고가 노출된 장소의 좌표값 등 단순 위치정보로서 이 같은 정보로는 개인을 식별할 수 없습니다. 전화번호나 국제단말기식별번호(IMEI), 맥주소(Mac Address)는 수집하지 않았습니다. 문제는 포털 사업자인 다음은 이미 회원 개인정보를 보유하고 있기 때문에 수집된 위치정보와 결합시킬 수 있다는 오해였습니다. 매칭 DB가 존재하지 않으며 기술적으로 회원정보와 연결될 가능성이 없음에도 불구, 본인확인 정보를 보유하고 있다는 사실만으로 의혹을 받았습니다. 아무리 이용자가 식별되지 않는 위치정보라 하더라도 수천만 회원 정보를 보유한 포털사라는 이유만으로 식별성 개인위치정보 수집으로 해석된다면, 차라리 회원 개인정보를 보유하지 않는 편이 낫습니다. 


위치정보 식별 가능성을 어떻게 따질 것인가 

위치정보의 보호 및 이용 등에 관한 법률 제2조(정의)는 제1호에서 “위치정보”에 대해 “이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보”로, 제2호에서 “개인위치정보”에 대해 “특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알수 있는 것을 포함한다)”로 정의하고 있습니다. 제1호의 “개인의 위치정보”와 제2호의 “개인위치정보”의 관계는 상당히 애매하며 제2호에서 결합의 용이성 만으로 식별성을 판단하는 것도 과잉 해석을 낳습니다. 또 “이동성이 있는 물건”의 위치정보에 대해 소유자 동의를 요구하는 것은 유례없이 강력한 규제로 오히려 실생활에 유용한 정보 흐름을 막는게 아니냐는 지적도 제기되고 있습니다. 


위치정보 규제의 모호함이 문제라면

위치정보의 보호 및 이용 등에 관한 법률” 제15조(위치정보의 수집 등의 금지) 제1항은 “누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집·이용 또는 제공하여서는 아니된다”고 규정합니다. 다음은 합법적으로 방송통신위원회의 허가를 받은 위치정보사업자로서 위치정보를 수집하며 Ad@m을 이용한 앱에서 위치정보 수집시 OS 기반에서 ‘동의’를 받고 있습니다. 다음은 OS 위치정보 동의 절차가 변경될 가능성 등에 대비해 앱 개발자들에게 위치정보 수집시 사용자 동의를 구하라고 고지하고 있습니다.
그러나 ‘누구든지’ 구해야 할 동의와 관련, 앱 실행시 OS에서 “동의”를 구한 뒤, 추가로 다음이 동의를 받아야 한다면 이는 기술적으로도 서비스적으로도 맞지 않습니다. 여기에다 위치정보 수집 주체를 각 앱 개발사로 해석할 경우, 1200여개 Ad@m 이용 앱은 물론이거니와 대다수 국내 앱 개발사는 이용자 동의에도 불구, 무허가 위치정보사업자로 전락할 가능성도 있습니다. 위치기반서비스사업자가 스스로 위치정보를 수집하여 위치정보사업을 하는 경우인지 경계가 모호한 경우도 있습니다. 위치정보법은 ‘위치정보의 유출·오용 및 남용으로부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민생활의 향상과 공공복리의 증진에 이바지함’을 목적으로 하는데, 현재 실제 법 적용 과정에서 나타난 문제점들은 위치정보 이용을 가로막고 있습니다.



결론

최근 SNS 서비스가 활성화되면서, 이용자들은 자발적으로 자신의 개인정보와 위치정보를 공개하는 경우가 적지 않습니다. 이용자 스스로 자기정보가 어떻게 수집, 활용되는지 범위를 이해하고 결정할 수 있도록 자기정보통제권에 대한 논의가 더 필요합니다. 더불어 개인정보를 기업들에게 일률적이고 강제적으로 수집, 확인하도록 하는 제도도 개선되어야 합니다. 

또 해외에서는 식별되지 않는 단순 위치정보 등을 기반으로 하는 다양한 타겟 마케팅이 활성화됐지만, 국내에서는 아직 등장하지 않은 단계입니다. 주민등록번호에 의존해 비식별성 데이터 마이닝 기술 개발이 뒤쳐진 측면도 있습니다. 식별되지 않는 위치정보는 이용자의 편익을 늘려주는 서비스가 되거나 사회적 가치를 증가시킬 수 있습니다. 식별되지 않을 이용자 권리를 보호하고, 개인정보를 과도하게 수집하지 않도록 하는 동시에 새로운 서비스 혁신이 이뤄질 수 있도록 과도하거나 모호한 규제도 개선되기를 바랍니다.