‘빅데이터 시대’ 개인정보 보호 대상인 동시에 경제적 가치 큰 활용 대상
디지털 시대, 생활의 편리함과 개인정보 유출 가능성은 양면의 칼날이다. 정보통신기술(ICT)의 발달로 국민 누구나 시·공간을 초월해 원하는 서비스를 손쉽게 이용할 수 있으나, 이 과정에서 개인의 신상정보가 유출될 가능성 또한 적지 않다. 지난해 국내 카드사 회원들의 신상정보가 무더기로 유출된 것이 대표적인 사례다. 대통령 소속인 개인정보보호위원회의 정하경(58) 위원장으로부터 개인정보 보호를 위한 정부의 정책 방향에 대해 들어 봤다. 정 위원장은 행안부 시절 정보화전략실장을 맡아 누구보다도 개인정보 보호 필요성에 대한 이해도가 높았다. 인터뷰는 지난 16일 본사 편집국 대회의실에서 했다.정하경 위원장은 온화한 성품 속에 논리성을 갖춘 공직자였다. 정 위원장이 지난 16일 본사 3층 대회의실에서 개인정보 유출 피해 최소화 방안 등 디지털 시대 개인정보 보호의 중요성에 대해 설명하고 있다.
손형준기자 boltagoo@seoul.co.kr
손형준기자 boltagoo@seoul.co.kr
-2011년에 개인정보 보호를 강화하기 위해 개인정보보호법이 제정되었다. 개인정보보호위원회는 이 법에 따라 그해 9월 30일에 출범한 대통령 소속의 합의제 행정위원회이다. 위원장을 포함하여 모두 15명의 위원으로 구성되어 있다. 기능과 역할 면에 있어 집행보다는 정책과 제도개선 등에 역점을 두고 있어 그런 것 같다.
→정부에서 개인정보를 보호한다지만 유출 사고는 끊이질 않고 있다. 왜 그런가.
-급속한 정보화 추진 과정에서 생기는 악플 등 부작용에 대해 소홀했던 면이 없지 않다. 우리나라의 개인정보보호법 등 관련 제도는 선진국과 비교해서도 결코 뒤지는 수준이 아니다. 하지만 개인정보보호 의식과 행태 그리고 관련 투자에 있어서는 여전히 미흡한 실정이다. 우리 위원회에서 실시한 2014년도 개인정보보호 실태조사에 따르면 국민의 90% 정도가 개인정보 보호를 중요하게 인식하는 것으로 파악됐다. 하지만 이러한 인식과 달리 실천적 행동은 뒤따르지 못하고 있다. 예를 들어 같은 조사결과에 따르면 국민의 76.8%는 개인정보 제공 시 동의서나 약관을 확인하지 않고 있는 것으로 파악되고 있다. 개인정보를 처리하는 공공기관과 기업도 개인정보보호를 위한 투자가 부족한 실정이다. 조직 면에 있어서 공공기관의 경우 5.9%, 기업의 경우 1.4%만이 개인정보보호 전담부서를 두고 있다. 연간 예산에 있어서도 공공부문은 평균 7500만원, 기업의 경우 평균 1900만원에 불과하다. 조사 기업의 93.8%는 아예 해당 예산 자체를 편성하지 않는 것으로 나타났다. 우리나라가 ICT 선진국 위상에 걸맞는 개인정보보호 수준에 이르려면 국민인식 제고와 공공기관과 기업의 관심과 투자가 필요하다.
→국민들은 각종 계약서 작성 시 동의서나 약관이 복잡하다는 불편함을 많이 느낀다.
-동의한다. 우리 위원회가 조사한 결과, 국민들은 과도한 동의절차, 동의내용·형식의 복잡·불명료성 등으로 동의가 형식화·수단화되어 있다고 느끼더라. 즉 동의과정이 소비자의 개인정보 보호보다는 기업의 영업활동을 위한 형식적 절차에 그쳐 정보주체의 실질적 동의권 및 거부권이 보장되지 않고 있는 실정이다. 정부는 이러한 동의제도의 문제점을 인식하고 개인정보제공 동의서 등 서식을 정보주체가 알기 쉽게 바꾸려 하고 있다. 금융업권별·상품별로 30∼50여개인 수집정보 항목을 필수항목(6∼10개)과 선택항목으로 구분하여 수집을 최소화하도록 했고, 온라인 사업자를 대상으로 알기 쉬운 동의방법의 세부방안을 명시한 ‘온라인 개인정보 취급 가이드라인’도 마련했다. 나아가 선택정보라는 사실을 정보 주체가 알기 쉽게 표시하도록 개인정보보호법 시행령도 바꿀 예정이다.
→개인정보 유출로 인한 2차 피해는 어떻게 방지하나.
-개인정보가 유출되면 제품 홍보 등을 위한 스팸문자 발송 등 원치 않게 기업의 마케팅 대상이 될 수 있다. 또 보이스피싱, 파밍, 대포폰 개설 등 사기 범죄에 이용되어 경제적 손실도 생길 수 있다. 나아가 사진 유포, 인신공격, 협박 등 사생활 침해도 생길 수 있다. 금융감독원에 따르면 개인정보 유출 2차 피해의 대표적 사례인 보이스피싱 사기의 경우 2011년 10월부터 지난해 상반기까지 피해건수가 약 7만건, 피해액은 3900억원이었다. 개인정보 2차 피해를 최소화하려면 초기 대처가 중요하다. 고객의 개인정보가 유출된 기업은 유출사고 발생 시 즉시 고객에게 유출사실을 알리고 관계 기관에 신고한 뒤 기술지원 등을 받아야 한다.
→개인정보보호법 외에도 정보통신망 이용 촉진 및 개인정보보호 등에 관한 법률(정보통신망법)과 신용정보의 이용 및 보호에 관한 법률(신용정보보호법) 등 관련 법들이 많고 행정자치부, 방송통신위원회, 금융위원회 등 관계 부처도 많은데 어떤 관계인가?
-우리는 개인정보를 일반법인 개인정보보호법 이외에도 정보통신망법과 신용정보보호법과 같은 개별법들로 보호하고 있다. 개인정보보호법 제6조에서 “개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.”고 규정해 인터넷 이용 등 정보통신 서비스와 관련된 개인정보 문제에 대해서는 정보통신망법이, 금융거래 등과 관련된 개인의 신용정보 문제에 있어서는 신용정보보호법이 각각 우선 적용된다. 개인정보보호법은 개인정보 보호에 대한 일반 원칙과 기준을 제시하고, 개별법에서 규정하지 못한 사각지대를 보충하는 역할을 한다. 그리고 정보통신망법은 방통위가, 신용정보보호법은 금융위가, 개인정보보호법은 행자부가 각각 관장한다. 개인정보 보호위를 대통령 소속으로 둔 취지는 이러한 다수 부처에 의한 분야별 담당체제에서 컨트롤타워 역할을 수행하도록 하려는데 있다고 볼 수 있다.
→하지만 컨트롤타워 기능이 약하다는 지적이 있다.
-우리 위원회의 역할이 부족한 탓이라고 생각한다. 개인정보보호위는 설립 이후 두 차례에 걸쳐 3년 주기의 개인정보보호 기본계획과 해마다 부처별 시행계획을 심의·의결하여 범정부 차원에서 개인정보보호가 체계적으로 시행될 수 있도록 했다. 개인정보보호 관련 현황과 국제적 동향 등을 종합하여 매년 국회에 연차보고서도 작성한다. 법령의 유권해석을 통해 기관 간 이견도 조정하고 있다. 하지만 지난해 카드3사의 대규모 개인정보 유출 사고를 계기로 우리나라의 분야별 담당체제에 대한 문제 제기와 함께 보다 효율적인 컨트롤타워가 필요하다는 인식이 확산된 상태다. 이와 관련하여 개인정보보호위의 기능과 역할을 강화하는 내용의 개인정보보호법 개정안 35건이 발의된 상태다.
→빅데이터와 사물인터넷(IoT) 시대에 개인정보보호 규제가 산업발전을 저해할 수도 있지않나.
-그럴 수 있다. 개인정보는 개인의 소중한 인권이면서 동시에 정보화 사회에서 부를 창조하는 중요 요소이다. 인권적 측면에서는 보호 대상인 반면, 경제적 측면에서는 활용 대상인 셈이다. 이러한 양면성 때문에 개인정보를 두고 ‘활용’과 ‘보호’라는 가치가 서로 충돌할 수 있다. 빅데이터 시대와 사물인터넷을 기반으로 하는 초연결사회 속에서 정보의 유통과 활용은 산업과 국가 경제의 경쟁력을 좌우한다. 이러한 시대에 개인정보보호 제도가 경제발전을 가로막는 걸림돌로 작용해서는 안 될 것이다. 하지만 인류에게 편의와 복지를 제공하려는 정보화 기술이 개인정보의 희생 위에 지속적으로 발전할 수도 없다. 따라서, 개인정보의 활용과 보호라는 두 가치는 함께 추구해야 한다. 그런 의미에서, 개인정보 보호제도는 정보화 발전에 제동을 거는 ‘브레이크’보다는 바른 방향으로 안전하게 유도하는 ‘가드레일’ 역할을 맡는 게 바람직하다고 본다. 개인정보보호제도라는 가드레일이 튼튼할수록 안심하고 더 빠르게 정보화 고속도로를 달릴 수 있을 것이다.
→스마트워치 등 IoT 기기 보급이 늘면서 개인정보 보호 측면에서 문제점은 없나.
-준비를 잘 해야 한다고 본다. IoT 기기의 각종 센서로 수집되는 개인정보의 양이 폭발적으로 증가하고 개인정보의 융·복합 및 빅데이터 분석을 통한 새로운 서비스가 나오면서 소비자 편익은 증가한다. 하지만 프라이버시 침해 및 개인정보 유·노출 위험 또한 커질 것이다. 설계단계부터 개인정보 보호를 기반으로 하는 ‘프라이버시 중심 디자인’(Privacy by Design)을 적용할 필요가 있다.
→스마트폰에서도 개인정보가 유출될 위험성이 있는지.
-그럴 수 있다. 사실 스마트폰에서 많은 개인정보가 처리되고 있다. 스마트폰 제조사의 경우에는 스마트폰 기기의 장애 및 기능개선을 목적으로, 통신사는 통신사용에 따른 요금을 징수하고자, 앱 개발사는 앱의 기능개선을 위하여, 운영체제사는 운영상 문제점 개선 등을 목적으로 각각 수시로 우리들의 스마트폰에 접속하여 관련 정보를 수집·활용하고 있다. 구체적으로 수집되는 정보들을 살펴보면 스마트폰 식별코드(IMEI)와 같은 정보로부터 전화번호부, 통화시간 등 통화와 관련된 각종 기록, SMS와 MMS 등 메시지 관련 정보, IP 주소 등 각종 인터넷 사용기록, 그리고 위치정보 등 각종 앱 사용과 관련된 정보 등이 있다.
문제는 대부분의 스마트폰 사용자들이 자신과 관련된 수많은 정보가 스마트폰 제조사, 통신사, 앱 개발사, 운영체제사 등의 서비스 제공자에게 전송되고 있다는 사실을 제대로 인지하지 못하고 있다는 점이다. 상시 네트워크에 연결되어 있는 스마트폰 기기 내에서 사용자의 의지와 무관하게 끊임없이 정보가 생성·저장·갱신 등 처리되고 있으나 사용자 자신은 그 정보가 언제, 누구에게 전송되고 있는지 알기 어려우며 설혹 알 수 있다 하더라도 이를 차단할 수단이 없는 실정이다. 우리 위원회는 2013년 7월에 스마트폰의 개인정보 오·남용 등의 위험성을 최소화하기 위해 방송통신위원회에 제도개선을 권고한 상태다.
→구체적으로 어떻게 권고했고 현재 상황은 어떤가.
-스마트폰 관련 개인정보보호 가이드라인을 마련하고 스마트폰으로부터 생성·저장된 정보가 외부로 전송되는 과정에서 사용자가 이를 확인하고 차단하는 수단을 마련, 보급할 필요가 있다고 권고한 바 있다. 우리 위원회의 권고 이후 방통위에서 후속 조치를 준비 중인 것으로 알고 있다.
박현갑 편집국 부국장 eagleduo@seoul.co.kr
■ 정하경 개인정보보호위원회 위원장은
서울대 영어교육과를 졸업하고 미국 인디애나 행정대학원에서 행정학 석사학위를 받았다. 대학 재학 시 제22회 행정고시에 합격하여 30여년간 공직자로 일했다. 총무처 인사국 복지과장, 급여과장, 인사기획과장을 거쳐 중앙인사위원회 인사정책심의관, 고위공무원지원단장 및 정책홍보관리실장을 역임하는 등 주로 공무원 인사정책 분야에서 근무했다. 특히 ‘개방형 임용제도’와 ‘고위공무원단 제도’ 도입 시 실무책임을 맡아 공직사회에 새바람을 불어넣었다. 개인정보 보호 업무는 2008년 말 종전 행정안전부의 정보화전략실장직을 맡으면서 처음으로 인연을 맺어 개인정보보호법 제정 과정에 관여했다. 2011년 9월 개인정보보호위원회 설립 시 초대 상임위원(차관급)을 거쳐 2013년 위원장으로 위촉되어 현재에 이르고 있다.
2015-04-24 27면
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지