“인증강박증이 개인정보 유출 불러” (블로터넷 2011.09.01 11:14)

“인증강박증이 개인정보 유출 불러”

‘소 잃고 외양간 고친다’라는 속담이 있다. 소를 잃고 나서야 외양간을 튼튼하게 만드는 모습을 비꼬는 말이다. 지킬 소가 없는데 외양간을 수리하는 건 쓸데없는 일이기 때문이다.

그래서였을까. 2006년 리니지 명의 도용, 2008년 옥션 해킹, 2010년 해킹된 개인정보 판매자 검거, 2011년 세티즌 해킹 등 대규모 개인정보 유출사고가 발생했지만, 기업과 정부는 개인정보를 보호하기 위해 노력하는 모습을 보이지 않았다. 이미 사고가 일어났으니 소용없다고 생각했는지도 모른다. 그러다 국민 절반 이상의 개인정보가 털리는 사건이 터졌다.

7월28일 SK커뮤니케이션즈는 싸이월드와 네이트 회원 3500만명의 개인정보가 유출된 사실을 공개했다. 해커가 가져간 정보는 아이디와 비밀번호, 실명, 암호화된 주민등록번호 등이었다. 해킹 사건을 공개하고 SK컴즈는 앞으로 회원가입 때 주민번호를 ‘저장하지’ 않겠다고 밝혔다.

그래도 사태는 가라앉지 않았다. 무조건적으로 회원가입 시 주민등록번호를 강제하는 정부에 대한 비판이 제기됐다. 이에 방송통신위원회는 “현재 이용자의 동의를 받아 누구나 주민번호를 수집할 수 있으나, 이를 원칙적으로 금지하고 예외적인 허용 정책으로 전환”하겠다며 ‘인터넷상 개인정보보호 강화 방안’을 8월8일 공개했다. 9월30일에는 ‘개인정보보호법’도 발효된다고 하니, 한결 마음이 놓인다.

그런데 ‘소 잃기 전 외양간을 튼튼하게 만들 순 없었던 건가’라는 의문이 든다. 정부는 ‘개인정보를 보호해야 한다’라는 당연한 얘기를 되새김질하지만, ‘개인정보를 쌓아두는 환경을 바꾸겠다’라는 구호는 찾기 어렵다. 이에 블로터닷넷은 개인정보를 위협하는 요인과 개인정보를 보호하기 위해 필요한 노력에 대해 생각해보는 자리를 마련했다.

일시: 2011년 8월30일

장소: 블로터닷넷 회의실

참가자: 민경배 경희사이버대학교 NGO학과 교수, 방인구 안철수연구소 컨설팅사업본부장, 오병일 진보네트워크 정책활동가, 이희욱/정보라 블로터닷넷 기자

이희욱 SK컴즈 해킹 사고가 터지고 방송통신위원회가 주민번호 수집을 ‘원칙적으로 금지’한다고 밝혔다. 인터넷 사업자가 주민번호를 수집할 필요가 없다는 해석을 내려준 건 이번이 처음 아닌가.

민경배 그 말은 3500만명의 개인정보가 털린 후에야 나왔다. 이제 주민번호를 수집하지 않아도 된다고 했지만, 이미 주민번호를 보유한 업체는 너무도 많다. 이런 곳들도 앞으로 SK컴즈 사고와 비슷한 사태가 일어날 가능성이 있다. 잠재적인 시한폭탄이다.

정부는 ‘주민번호를 이제 수집 안 해도 된다’고 말할 게 아니라 업체들이 주민번호 DB를 폐기하도록 조치를 취해야 한다. 진보네트워크에서 주장하듯 이미 유출된 주민번호가 악용되지 않도록 주민번호를 갱신하거나 제도 자체를 폐지하는 것까지 검토해야 한다.

이희욱 9월에 발효되는 개인정보보호법은 개인정보를 폐기하라는 내용이 포함됐는가.

오병일 보유기간이 지나면 파기하라는 조항은 있다. 그렇지만개인정보보호법이 최근 발생한 해킹 사건을 막을 근본 대책이라고 보긴 어렵다. 이 법은 원칙적으로 개인정보 수집을 금지하지 않는다. 주민번호와 같은 고유식별정보를 이용자의 동의를 받으면 수집할 수 있다는 조항이 있다. 이 조항대로라면 의무적으로 주민번호를 수집하지 않아도 되는 곳이 주민번호를 수집하는 걸 허용하게 된다.

주민번호는 궁극적으로 폐지하는 게 맞다고 본다. 기업은 주민번호를 내부 DB 관리나 제휴 서비스 연동시 키(key)값으로 쓴다. 상황이 이러다 보니 기업은 주민번호 폐지에 난색을 표한다. 만약 주민번호를 수집하지 않도록 하는 작업이 옥션 사건 때부터 이루어졌다면 SK컴즈 사태는 나오지 않았을 것이다.

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

민경배 주민번호 수집은 이제 문화로 자리잡은 느낌이다. 동네 제과점에서 포인트 카드를 하나 만들려해도 주민번호를 제공해야 한다. 서비스라곤 포인트 적립밖에 없는데도 당연한 듯 주민번호를 받으려 한다. 이처럼 굳이 활용할 곳이 없는데도 주민번호 수집하는 건, 주민번호가 신원을 확인하는 유일한 수단이 됐기 때문이다.

주민번호를 수집하는 문화부터 개선해야 한다. 물론 저절로, 단기간에 이뤄지진 않을 것이다. 그래서 법으로 강제할 필요가 있다. 주민번호 수집을 막는 데에야 말로 정부의 규제가 필요하다.

이희욱 이전에도 웹사이트에서 주민번호를 수집하는 관행은 있었지만, 일정 규모 이상의 웹사이트가 주민번호를 의무 수집하게 한 건 2007년 ‘제한적 본인확인제’(이하 인터넷 실명제)가 시행되면서부터다. 게시판 덧글을 달 때조차 실명 인증을 하는 게 한국만의 독특한 제도인지 궁금하다.

민경배 개인의 평생 신분 식별 번호를 주민번호로 운영하는 곳은 한국뿐이다. 그리고 주민번호 기반으로 본인 인증을 하는 곳도 한국 밖에 없다.

인터넷 실명제 도입 배경으로 내세웠던 ‘악플 완화’ 효과는 이미 효과가 없음이 검증됐다. 악플이 줄었다고 해도 많아봐야 3~4%다. 실명제를 도입하고 표현의 자유와 개인정보가 취약해지는 것에 비하면, 악성댓글 감소 효과는 너무 적다. 애초에 악성댓글을 없애려 했다면 인터넷 실명제가 아닌 다른 방법을 찾았어야 했다.

인터넷 실명제는 참여정부 시절부터 시작해 차츰 적용 대상이 확대됐다. 처음 실명제는 공공기관과 언론사, 포털사이트 등 하루 30만명 이상 방문하는 웹사이트를 대상으로 했다가, 하루 10만명 이상 방문하는 웹사이트로 단계별로 확대됐다. 이렇게 법률안이 개정되는 시점은 선거 같은 정치적으로 민감한 시기와 맞물렸다.

이렇듯 인터넷 실명제 대상이 확대된 추이를 보면 도입 목적이 ‘악성댓글로부터 국민 대다수를 보호한다’라기보다 선거 때 정치인의 피해를 줄이겠다는 데 있어 보인다. 정치인의 이기적인 의도가 엿보인다. 이렇듯 실명제는 의도 자체가 불순하다.

이희욱 실명제 적용 대상 웹사이트 중에서 아이핀을 도입한 비율이 상당히 낮다. 아이핀이 개인정보를 보호하는 데 효과가 있다면, 아이폰 도입 비율이 낮은 건 설명이 안 된다.

민경배 아이핀 자체가 주민번호를 제공해야 발급받는 방식이다. 쉽게 말하면, 문 하나 더 달아놓은 것에 불과하다. 아이핀은 이용자에게 번거로운 서비스다. 업체도 굳이 아이핀을 도입해야 할 동기를 느끼지 않았던 것 같다. 무엇보다 아이핀은 이를 발급해주는 신용정보업체에 개인정보를 몰아주는 또 다른 효과를 낳기 때문에 위험하다.

오병일 본인확인 방법에 아이핀만 있는 건 아니다. 휴대폰 인증과 공인인증 등 여러 수단이 있다고 정부는 말한다. 수단마다 기업과 개인이 드는 비용이 다른데, 그 중 주민번호는 비용은 적게 들고 보안은 가장 취약한 인증방식이다. 휴대폰과 공인인증 방식도 어찌보면 주민번호 인증과 다르지 않다. 휴대폰을 쓸 때 주민번호를 제공해 가입할 수 있고, 공인인증서도 마찬가지다.그보다는 ‘인증을 반드시 해야만 하는가’, ‘하나의 인증방식만 도입해야 하는가’를 고민해야 한다.

이희욱 옥션과 리니지, 세티즌, SK컴즈 등 개인정보가 새나간 사례가 여럿 있었다. 최근 몇 년간 해킹 같은 사고가 빈번했다. 요즘 보안 위협 유형은 어떤가.

방인구 개인정보 유출사고는 결국 먹잇감이 있기 때문에 발생했다. 해킹 트렌드를 살펴보면, 최근 기술적 난이도가 상당히 높아졌다. 예전에는 악성코드를 뿌려서 걸리는 곳에 들어갔다면, 지금은 원하는 정보를 가진 곳을 정확히 겨냥해 장기간, 지속적으로, 집중 공격하는 모습이다. 그게 지능형 타깃 지속 공격(APT)이다. 한 번 타깃이 되면 당할 수 밖에 없는 수준에 이르렀다. 기술적으로만 막기에는 한계가 있다.

이희욱 기업은 개인정보를 보호하기 위해 어떠한 노력을 하고 있는가.

방인구 가장 앞단의 방화벽부터 시작해, 아이패스, 웹 방화벽을 마련하고 뒷단에 있는 DB서버에서는 DRM을 적용하고 암호화한다.최근 보안쪽에선 개인 PC가 공격받는 게 이슈다. 해커들은 목표를 공격하기 위해 목표물을 둘러싼 PC를 공격해 악성코드를 심는다. 이러한 해킹에는 기술적으로 막는 것보다 네트워크에 대한 집중적인 모니터링이 필요하다. PC와 서버 모두를 지속적으로 감시하지 않으면 잡아내기 쉽지 않다.

이희욱 기업이 감시를 강화한다고 개인정보가 새나가는 걸 막을 수 있을지 의문이다. 공격하는 쪽은 다양한 방법을 사용해 지능적으로 공격하는데, 다양한 공격 유형에 대한 방어 책임을 기업에만 지울 수 있을까.

오병일 중요한 건, 보안 환경의 문제다. 물론 개별 기업이 보안에 얼마나 투자를 하는지, 성실하게 모니터링 하느냐도 중요하다. 헌데 정부는 기업에 단일한 보안 시스템을 강제하고, 보안 관련한 기준을 지나치게 세세하게 제공한다. 그러다보니 기업은 시키는 것만 따르면 책임을 면하게 된다. 이러한 보안 환경 탓에 보안 업체와 기업이 보안에 투자하고 보안 기술을 개발하려는 의욕이 꺾이지 않나 싶다.

이희욱 정부가 민간의 보안 노력을 막는다는 이야기도 들린다. 금융 웹사이트 키보드 보안프로그램은 이용자가 웹사이트를 접속하기 전 또는 후도 아닌 접속 순간에 깔려야 한다고 금융거래법 시행령에선 규정하고 있다. 다양한 보안 기술이 있는데도 이런 식으로 너무 세세한 부분까지 법이 지적하는 건, 민간의 보안 기술 연구와 창의성 발현을 제한한다. 그래서 ‘정부는 최소한의 가이드라인을 마련하고, 민간의 자율 규제로 가야 한다’라고 말하는 것 아닌가.

국내에서 웹표준을 따르는, 이른바 오픈뱅킹 서비스를 제공하려 해도 법이 의무화한 보안 프로그램을 만들어줄 업체를 찾기 힘들다고 한다. 키보드 보안프로그램이나 공인인증서 같은 플러그인은 대부분 액티브X 방식으로만 제공된다. 보안 업체들도 굳이 기존 거대한 시장을 두고 다른 OS나 웹브라우저를 지원하는 보안 플러그인에 기술과 노력, 시간을 들여 개발을 할 동인을 못 찾는다.

방인구 액티브X는 보안업체가 아닌 곳도 많이 쓴다. 디바이스 표준 등 기술적으로 액티브X를 쓰는 게 보안에 취약한 건 알지만 편하니까 관성적으로 쓰곤 한다. 최근에는 아이폰 같은 스마트폰이 도입되고 신기술 도입 속도가 빨라지면서 액티브X가 뜨지 않는 곳이 많아졌다. 이용자들이 불편해하고, 액티브X를 받아들이지 않는 플랫폼이나 서비스가 늘어나면서 자연스레 액티브X 비중도 줄어드는 추세다.

오병일 아이폰 도입은 국내 이용자들이 기존 환경이 정상적이지 않다는 걸 깨닫는 물꼬를 텄다. 우리나라는 유독 액티브X를 통해 보안을 제공하려 했다. 그런 점에서 정부는 가이드라인을 잘못 만든 책임이 있다. 보안업체도 전문가로서 정부에 적절한 정책 방향을 제안하고 솔루션을 제공하는 역할을 했어야 했다.

방인구 우리나라는 액티브X와 주민번호 인증을 너무 일찍 받아들였다. 두 시스템에 대한 위험과 영향을 초반에 정확하게 분석하지 않고 시작한 게 문제다. 현재 포털사이트를 비롯한 대다수의 웹사이트가 기본적으로 주민번호를 받고 있다. 업체들은 이렇게 받은 주민번호를 시스템에서 소프트웨어를 구현할 때 키값으로 쓰고 있다.

민경배 보안 업체는 기존에 하던 방식으로 가려는 관성이 있는 것 같다. 제가 속한 학교에서도 얼마 전 홈페이지를 개편하면서 웹표준과 호환성을 고려하자는 이야기가 나왔지만, 업체들이 개발 단가가 올라간다며 난색을 표했다. 이렇게 업체는 액티브X, 윈도우, IE 기반의 프레임 안에서만 개발하려 하는 것 같다. 그 이상의 다른 시도를 하지 않으려 하는 게 아쉽다.

방인구 규모를 따지지 않고 모든 기업에 똑같은 잣대로 보안 시스템을 강제하는 건 문제가 있다. 개인정보보호법 적용 대상 사업자는 약 350만이다. 그중 300만여곳이 비디오 대여점이나 세탁소와 같은 영세 지역 상인들이다. 이런 곳에 개인정보를 암호화하고 방화벽을 설치하라고 요구하는 건 현실적으로 어려운 일이다. 그래서 이런 소규모 업체들은 정보를 압축하는 것만으로도 인정하겠다는 이야기도 논의되고 있다.

나머지 50만에 해당하는 업체는 중소기업부터 대기업까지 규모가 매우 다양하다. 이들 업체에 대한 차등적인 적용도 필요하다. 앞으로 9월30일 개인정보보호법이 발효되고 어느 정도 유연성을 확보할지는 지켜봐야 한다.

이희욱 보안 업체로서, 개인정보보호법이 업계에 어떤 영향을 미칠 것으로 보고 있나.

방인구 기업들이 개인정보를 보호하는 수준은 높아지고, 이를 돕는 산업은 활성화될 것으로 생각한다. 개인정보보호법이 발효되면 보안 업체에는 많은 기회가 열린다. 개인정보보호법 제33조가 기업이 개인정보 영향평가를 받도록 한 것도 기회다.

개인정보 유출 사고가 나면 기업은 어디서부터 손을 대야 할 지 잘 모른다. 그래서 가장 먼저 취하는 조치가 보안업체에 문의하는 것이다. 실제로 기업 현장에 나가보면, 수집한 개인정보가 어떻게, 어떤 시스템에 있는지조차 파악 안 돼 있는 경우가 적잖다. 기업은 정보를 체계적으로 관리·보호하는 게 쉽지 않다. 앞으로 컨설팅과 자문이 많이 필요할 것으로 보인다.

이희욱 개인정보를 보호하려는 노력이 퍼지는 건 환영할 만하다. 그렇지만, 계속 지적됐듯이, 개인 정보를 과다하게 수집하는 게 문제 아닌가.

오병일 기업이든 정부든 개인정보 수집 자체를 안 할 순 없는 상황이다. 개인정보 보호 문제는 정보를 수집하기 전과 수집 후, 두 단계로 나눌 수 있다. 그중 수집 전 단계는 문제가 없는지에 대한 이야기를 하고 싶다.

2008년 옥션이 해킹당하고 개인정보가 유출됐을 때, 인터넷 실명제와 주민번호 수집에 대한 문제를 제기했다. 이번 SK컴즈 사고가 났을 때도 원인과 해결책은 3년 전과 똑같다. 서글픈 일이다. 무엇이 과도한 개인정보 수집인지는 기업마다 다르다고 본다. 문제는, 정부가 기업이 과도하게 개인정보를 수집하도록 강제하는 데 있다. 핵심은 주민번호 수집이다. 주민번호를 강요하는 게 실명제와 금융거래 관련 두 부분이다. 굳이 그 서비스에 필요하지 않은 데도 수집을 해야 하는 데에서 불필요한 개인정보 수집이라고 본다.

이희욱 개인정보보호법에는 최소한의 수집에 대한 내용이 있지만, 동의만 있으면 얼마든지 수집할 수 있다는 내용도 있다. 수집 자체를 제한적으로 하도록 법으로 강제할 필요가 있는 것 같다.

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

오병일 ‘필요최소한의 정보만’ 수집한다는 원칙이 있어야 한다. 기업마다 상황이 달라, 어디까지가 필요최소한의 정보인지 범위를 규정하는 건 어려운 일이다. 그렇지만 ‘주민번호는 수집금지’라는 식의 원칙은 세울 수 있다고 본다.

민경배 주민번호는 번호 안에 이미 개인의 다양한 정보가 담겨 있으니, 궁극적으로 없애는 게 맞다.

오병일 정부는 주민번호를 폐지하는 데는 사회적 비용이 많이 든다고 말한다. 정부가 하는 말이 옳을 수 있지만, 생각해보자. 주민번호를 폐지하는 데 사회적 비용이 발생하는 환경을 만든 게 정부다. 당장 주민번호 제도를 바꾸는 게 어려우면, 민간과 공공영역에서라도 주민번호 활용을 줄여나가야 한다. 앞으로 더 큰 사회적 비용이 발생하지 않도록, 지금부터라도 장기 계획을 세워 단계적으로 바꿔나가자는 얘기다.

이희욱 인터넷 실명제로 논의를 옮겨보자. 인터넷 실명제를 법 자체로 강제하는 건 문제가 있는 것 같다. 시민사회가 지속적으로 문제를 제기하지만, 주민등록번호 자체를 키값으로 쓰는 걸 제도적으로 바꿀 대안을 제시해야 하지 않나 싶다.

오병일 ‘꼭 인증을 해야 하는가’라는 의문을 제기할 필요가 있다. 굳이 인증할 필요가 없는데도 인증을 해야 하나. 기업 입장에는 가능하면 확실한 정보가 더 가치 있을 것이다. 그래서 정보를 수집하려는 욕구를 가지고 있을 수도 있다.

기업이 과도하게 인증하지 않도록, 그리고 민간에서 주민번호를 사용하지 못하도록 사회적 환경이 바뀌어야 한다. 실명제뿐 아니라 전자상거래 관련한 곳도 검토가 필요하다. 그리고 현행 법률이 주민번호 보관을 의무화하는 것인지, 거래했다는 기록만 보관하면 되는 것인지에 대한 법적 해석이 명확하게 내려져야 한다.

일차적으로 주민번호 수집을 제한하는 것이 인증에 대한 강박을 벗어나게 하는 하나의 방법이다. 인증 자체를 강제할 필요는 없다고 본다. 왜 불필요하게 모든 웹사이트에 인증을 강요하는지를 생각해 봐야 한다. 블로터처럼 소셜댓글이 적합하다고 생각되면 그렇게 하면 된다. 인증하지 않든, 소셜 인증을 도입하든, 휴대폰 인증이든, 해당 서비스가 판단해 선택할 수 있게 해야 한다.

사회 전반에서 ‘인증을 해야 한다’라는 강박에서 벗어나면 좋겠다. 인증한다는 것 자체가 개인정보가 축적되는 거다. 이번에 행정안전부는 주민번호대신 주민등록증 발행번호로 대체하겠다는 대책을 내놓으며 전자주민증 법안을 통과하려고 한다. 이건 더 큰 문제가 있다. 전자주민증이 도입되면 인증 자체가 일상화될 것이다. 카드만 대면 인증이 되는데, 인식기가 있는 곳마다 개인의 인증기록이 남을 것이다.

이희욱 개인정보 수집과 인증을 최소화하며 온라인에서 신뢰있는 커뮤니케이션이 일어나게 할 묘안이 무엇인지 고민이 된다.

민경배 자율적으로 신뢰를 쌓는 문화가 있다. SLR클럽의 장터 문화를 보자. 여기에선 가격에 대한 의견 표현은 일체 못하도록 돼 있다. 상당히 야박한 장터다. 운영자가 처음부터 강제적으로 이렇게 한 건 아니었다. 이용자간에 이런 식으로 게시판을 운영하자는 식으로 문화가 조성됐고 나중에는 이용자 합의에 의해 규정됐다. 만약 처음부터 가격에 대한 이야기를 하지 못하도록 했다면 독재다. 지금 규정은 강제이긴 하지만, 합의에 의해 만들어졌다.

저 게시판은 실명게시판이 아니었던 시절에 저런 문화가 만들어졌다. SLR클럽처럼 다양한 모습이 나타날 수 있었는데 갑자기 일괄적으로 인터넷 실명제가 적용됐다. 이런 식으로 실험적인 모습이 나올 싹이 사라졌다.

희한하게 IT는 군사정권이 종식된 이후에 발달했는데 이상하게도 정부의 IT 정책은 군사정권 시절마냥 획일화돼 있다. 실명제 정책도 마찬가지다. 보안, 인증방식, 보안환경 등 오늘 나온 모든 이야기의 공통점은 결국은 개별성을 무시하고 정부가 일률적으로 ‘이렇게 해’라고 하면서 문제가 발생한 사례다.

주민번호를 없애자고 하면 격렬한 논란에 휘말릴 것이다. 주민번호를 기반으로 비즈니스 모델이 만들어진 기업과 이해가 맞물린 사람들, 보수진영에서도 반발이 나올 것이다.

이희욱 요새는 주민번호 기반으로 돈을 버는 웹서비스가 예전처럼 많진 않은 것 같다. 비즈니스 모델 자체가 많이 바뀌었다.

오병일 일반적인 본인확인도 문제이지만 주민번호가 중요한 인증 수단으로 쓰이는 쪽이 성인인증이다. 이것 때문에 상당기간 인증 제도가 남아있을 가능성이 크다. 이 부분은 이슈화되고 있지 않은 것 같다.

민경배 성인인증도 주민등록 제도가 있기 때문에 발상 가능한 규제다. 게임 셧다운제도 마찬가지다. 주민번호가 없었다면 이런 제도를 애초에 만들지 못했다. 사실 주민번호 하나만으로 성인여부를 판단할 수 없다.

이희욱 현재 개인정보보호법은 정확한 시행령은 나오진 않았다. 공개된 법령만 두고 봤을 때 보안 업체는 실효성 여부를 어떻게 보고 있나.

방인구 개인정보 보호책임자 부분은 긍정적으로 본다. IT가 중요한 증권과 은행에서 IT 담당자의 위상이 낮다. 보안 담당자는 그보다 더 낮다. 개인정보 보호에 있어 보안 담당자가 주도권을 갖기 힘든 구조를 바꾸는 뜻에서 위상과 직책을 높이는 것도 한 방법이라고 본다.

하지만 개인정보보호법은 개인정보를 보호하느라 산업 발전을 저해할 가능성이 있다. 일본을 보면, 개인정보보호법을 도입하고 학교와 직장에서 비상연락망을 돌리지 못했다. 비상연락망을 공유하려면 개인의 동의가 필요했다. 이렇게 개인정보를 보호하느라 소통을 막는 일이 잦아졌다. 이건 작은 예다. 우연찮게도 이러한 사례가 등장하기 시작하던 때가 일본 경제가 하락하던 시기와 맞물렸다. 현재 일본은 개인정보보호법 법령을 고쳐나가고 있다고 한다.

기업이 개인정보를 과도하게 수집하는 걸 막는 것도 좋지만, 산업 발전에 저해가 될 정도로 과도하게 보호하는 것도 생각해볼 문제다. 아직 개인정보보호법 시행령이 마련되지 않았는데, 산업 발전에 저해되지 않는 선에서 나오길 바란다.

오병일 기업 입장에서 개인정보 보호 노력을 비용이라고 볼 수도 있지만, 지금 당연히 해야하는 일이다.기업이 개인정보를 수집했다고 치자. 한 번 수집한 정보는 활용하려 들기 마련이다. 그 정보를 제휴 업체에 넘겨 광고하게 하는 것도 충분히 가능하다.과거에는 그게 가능했는데, 법적 규제 때문에 앞으로 어려워질 수 있다. 그게 기업 입장에서는 부담이거나, 비용을 더 들이게 하는 문제일수도 있다. 과도한 규제라고 할 순 없다. 개인정보를 어떻게 취급해야 하는지에 대한 기업 문화와 인식을 바꿔나가야할 일이다.

개인정보보호법은 2002년부터 논의가 이뤄졌고 2004년부터 3개 법안이 올라왔다. 올해 들어서야 발효되는데 이번 법은 과거 법안보다 후퇴했다. 어떤 의미에서는 몇 년간 요구한 개인정보보호법이 통과돼 일종의 성과를 보였다고 볼 수 있지만 아쉬운 부분이 많다.

특히, 개인정보보호위원회가 독립기관이 되지 못했다. 개인정보 보호에 대해서는 기업뿐 아니라 정부도 감시 대상이어야 한다고 생각한다. 그런데 개인정보보호위원회가 정부를 감시할 수 있을까. 정부에 권고하는 역할을 제대로 할 수 있을지, 그런 부분이 우려된다. 이후 모습을 지켜보며 우리도 견제하는 역할을 해야 할 것이다.