대한민국에 개인정보는 없다! 사후약방문보다 개인정보 갈아엎자!

- <한국경제>에서 발췌 - 

흔히 '개인정보'라고 말하지만, 항상 이런 의문이 든다. '대한민국에 '개인정보'라는 게 있긴 한 걸까?' 지난 2012년 7월 29일, 개인정보 유출과 관련된 글을 올린 적이 있다. KT의 전산망이 해킹을 당하면서 무려 870만 명의 개인정보가 유출된 사건에 대한 글이었다. 당시 유출된 개인정보는 이름, 주민등록번호, 휴대전화번호, 휴대전화 모델명, 사용 요금제, 요금 합게액, 기기변경일 등의 핵심정보가 모두 포함되어 있었다. 

KT뿐만 아니었다. 네이트, 싸이클럽, 옥션, 신세계, 국민연금공단, 농협, 현대캐피탈에서도 개인정보 유출이 있었다. '개인정보'는 그저 말뿐, 사실상 '공용정보'라고 해도 무방할 정도다. 위의 표를 보면 과연 내 개인정보는 무사할까, 라는 의구심이 든다. 이 정도로 비일비재하게 사건이 터졌으면 뭔가 대책이 세워졌을 법도 한데, 희한하게도 변한 것은 아무 것도 없다. 

- 출처 : 구글 이미지 검색 - 

이번에는 KB국민카드, 롯데카드, NH농협카드의 고객들의 개인정보가 유출됐다. 유출된 정보로는 이름, 주민등록번호, 주소, 전화번호, 신용카드번호, 은행계좌번호, 신용등급 등 최소 14개에서 최대 17개의 항목이다. 건수로는 1억 400만 건, 고객 수로는 약 4천만 명(사망자와 중복자를 제외하더라도 2천만 명 이상)에 달하는 엄청난 양의 개인정보가 새어나간 것이다. 대한민국 인구가 5천만 명이던가? 그 중에 미성년자를 제외한 성인 인구가 약 4천만 명이라고 한다. 2명 중 1명의 개인정보가 털린 셈이다. 그야말로 사상 최악의 카드 사태이자 개인정보 유출 사건이다.

반복된 개인정보 유출 사건에 시민들은 단단히 화가 났다. 게다가 금융위원회와 금융감독원의 미숙하고 어설픈 대응은 인내심을 잃게 하기에 충분했다. 검찰의 3개 카드사 고객정보 유출 수사 결과가 발표된 지 2주가 지났지만, 금융당국은 피해자의 수도 정확히 파악하지 못하고 있는 상황이다. (앞서 언급했던 것처럼) 대략적으로 2천망 명 이상이 될 것이라고 추측할 뿐이다. 

이뿐만이 아니다. 2차 피해 가능성이 있음에도 금융위와 금감원은 "유출된 고객 정보가 제3차에 유포되지 않았다"고 확언하고 있다. 카드사들도 이와 같은 입장을 취하고 있다. 심재오 KB국민카드 사장은 "2차 피해 가능성은 없다고 판단한다. 유통되기 전에 검찰에 의해 모두 압수됐기 때문에 피해를 당하실 일이 없다. 검찰 수사결과 지금까지 6개월여동안 당사에는 어떤 피해 사례도 접수되지 않았다"고 밝혔다. 하지만 정작 검찰은 "유출된 1억400만건의 정보가 제3자에 유포되지 않은 것으로 판단 또는 추정한다"며 조심스러운 태도를 취했다. 2차 피해가 없다면 정말 다행스러운 일이겠지만, 유출 이후에 제3자에게 유출되지 않았을 거라 확신할 수는 없는 상황이다. 

- JBC 뉴스9 에서 발췌 - 

이러한 일이 반복되는 이유는 무엇일까? 우선, 정부의 책임을 묻지 않을 수 없다. 개인정보가 유출 사건이 터질 때마다 정부에서는 대책을 종합적으로 마련하겠다고 말했다. 하지만 그에 대해 뚜렷한 대책을 내놓지 못했다. 지난 2011년 농협, 현대캐피탈의 해킹 사고 이후 금융감독원이 내놓은 대책은 '망분리 등 접속경로 통제 강화', '노트북 및 휴대용 저장매체 보안 통제 강화', '외주업체 및 외주인력 관리 강화' 등이었다. 3대 카드사 고객정보 유출 사건 이후 금융감독원이 내놓은 대책은 '고객정보를 USB메모리 등 이동저장매체에 저장하거나 외부 전송하는 수단에 대한 통제 강화', '고객정보의 외주업체 등 제3자 제공을 통제하고 보유기관 경과, 처리목적 달성 고객정보는 파기'였다고 한다. 대책마저 돌려막기를 하는 것일까? 

다음으로 생각해봐야 할 것은 근원적인 부분이다. '개인정보 수집'이 지나치게 과도하게 이뤄지고 있다는 점이다. 인터넷상에서 회원가입을 할 때 '개인정보 수집'에 동의를 하지 않으면 다음 단계로 넘어갈 수도 없는 경험을 다들 해봤을 것이다. 현실적으로 우리들은 개인정보 수집을 거부할 수 없는 사회를 살아가고 있는 것이다. 이러한 과정이 상당히 강압적이고 폭력적이라는 생각이 든다. 적게는 수 개, 많게는 수십 개의 금융기관을 비롯한 각종 사이트에 의해 '수집'된 '개인정보'가 시도때도 없이 털리고, 그렇게 유출된 개인정보는 보이스피싱이나 스미싱 등에 이용되어 수많은 피해를 발생시킨다. 

- <서울신문>에서 발췌 - 

그런 생각도 든다. 이제 와서 대책을 마련해본들 무슨 소용이 있겠는가? (그렇다고 대책을 마련하지 않고 두 손 놓고 있으란 얘기는 아니다.) 이미 '개인정보'라는 것이 존재하지 않는 상황에서, 다시 말해서 각종 루트로 유출된 개인정보들의 데이터가 축적이 되어 있는 상황이 아닌가? 조금 과격하긴 하지만 현재 금융기관과 각종 사이트에서 보관하고 있는 개인정보를 일괄적으로 리셋하거나 전국민에게 주민등록번호를 재발급(주민등록번호를 아예 없애는 것도 이제는 고려해봐야 한다.) 하는 등의 조치를 취하지 않는 이상 '더 이상 유출이 안 되도록 하겠습니다'라는 건 사후 약방문 아닌가?

주민등록번호 수집, 8월부터 전면 금지 <한겨레>

'개인'정보 아닌 개인정보, 이제는 근본적인 대책이 절실히 필요한 상황이다. 금감원은 대오각성(大悟覺醒)하고 더 이상의 유출 사건이 발생하지 않도록 강력한 대책을 세워야 한다. 유출자를 비롯한 관련자들에 대한 처벌의 강도를 현저히 높일 필요도 있다. 개인정보를 유출하면 금전적 이익을 얻는 것과는 비교할 수 없을 만큼의 처벌을 받는다는 것을 인지시켜야 한다. 물론 금융사들도 분명한 책임을 지도록 해야 한다. 지금처럼 고객들의 개인정보를 안일하게 관리하는 일이 반복되지 않도록 무한책임을 물어야 한다. 이런 방법들이 소 잃고 외양간 고치는 격이지만, 지금 고쳐놓아야 다시 소를 키울 것 아닌가? 

- 출처 : 구글 이미지 검색(해서 붙임) - 

또, 무분별한 개인정보 수집에도 제재를 가해야 한다. 지금처럼 개인정보 수집이 필수적인 코스가 되어서는 안 된다. 무차별적인 개인정보 수집을 하지 못하는 방안을 마련해야 한다. 안전행정부는 8월부터는 법령상의 근거 없이 불필요하게 주민등록번호를 수집하지 못하도록 한다고 밝혔다. 실제로 국내의 웹사이트 약 32만 곳 중에서 약 29만 6000곳(92.5%)이 불필요하게 주민등록번호를 수집하고 있다고 한다. 늦어도 너무 늦었지만 지금에라도 이런 조치를 취한 걸 칭찬해야 할까? 당장도 아니고 8월부터라니 칭찬은 조금 아깝다는 생각도 든다. 

이쯤되면 차라리 주민등록번호를 재발급해서 기존의 개인정보들을 무의미하게 만들어버리든가, 아니면 주민등록번호제도 자체를 없애는 것도 논의해봐야 하는 것 아닐까? 주민등록번호가 만들어진 역사적 배경이나 그 활용도를 생각해보면 사실상 없어도 무방하다는 생각도 든다. 다각도로 고민이 필요한 시점이다.