개인정보유출 사건으로 KB·NH·롯데 등 신용카드사 대표들이 줄줄이 사퇴했지만, 국민의 분노는 여전하다. 1억400만 건의 개인정보를 유출한 곳이 신뢰가 생명인 금융권인 이유에서다.

 

정보통신기술(ICT)의 발달로 우리 사회는 데이터의 축적과 유통을 기반으로 새로운 시장을 형성하고 하는 ‘빅데이터’ 사회로 빠르게 변신하고 있다. 이번에 유출된 이름, 주민번호, 카드번호, 카드 유효기간, 신용정보 등 19개 항목의 개인정보들이 이미 통신망에 널려 있는 개인식별·비식별 정보들과 결합하면 더 큰 사고가 발생할 수 있다.

 

그러나 우리나라의 정보보호 관련 법·제도는 빅데이터 시대를 대비하기에 어떤 부분은 지나치게 관대하고, 어떤 부분은 넘칠 만큼 규제만 강조하고 있다는 지적이다. ‘정보보호 신뢰 프로세스’가 필요한 이유다.

 

◇개인정보 수집한 구글, 관련 법 미비로 솜방망이 처벌 될 듯

제도가 약한 대표적인 예는 구글의 스트리트뷰 무단 정보 수집 사건이다. 구글은 2009년부터 2010년초까지 3차원 영상을 통해 거리 모습을 생생하게 보여주는 ‘스트리트뷰 서비스’를 준비하면서 차량을 이용해 지도 정보 외에 인근의 무선 망에서 불특정 다수의 이메일, 비밀번호 등 개인정보를 수집한 혐의를 받았다.

 

이후 2011년 검찰이 구글코리아를 압수수색하고 방송통신위원회도 구글에 대해 조사했지만, 더 이상 ‘진도’가 나갈 수 없었다. 구글 본사가 조사를 거부한 이유에서다. 재조사에 나선 방통위는 최근 ‘개인정보 무단 수집’이어서 정보통신망법을 위반했다는 잠정 결론을 내렸지만, 기껏해야 1억 원 내외의 과징금(최대 4억 원)외에는 별다른 제재 방법이 없는 것으로 전해졌다.

 

정보통신망법은 서비스 제공자와 서비스 이용자 간 문제를 다루는데, 구글이 불특정 다수의 이메일 등을 수집한 것을 처벌할 수 있느냐가 논란이었다. 방통위 관계자는 “구글이 계속 ‘우리 이용자가 아니다’라고 항변해 어려움을 겪었다”면서 “사건 발생 당시 개인정보보호법이 있었다면 개인정보보호법으로 처벌할 수 있었겠지만 그렇지 않아 정보통신망법 위반으로 처벌하려다 보니 쉽지 않다”고 말했다. 비슷한 이유로 독일도 구글에 벌금 14만 5000 유로(한화 2억940만 원)를 부과하는데 그쳤다.

 

◇단말기 식별정보도 개인정보?…빅데이터 산업 고사 위기

구글 사례가 너무 관대했다면, 가혹했던 경우도 있다.

2010년 검찰은 스마트폰 앱인 ‘증권통’을 통해 ‘국제모바일단말기인증번호(IMEI)’와 ‘USIM 시리얼번호(ICCID)’를 수집한 이토마토와 세마포어 솔루션 등을 정보통신망업 위반 혐의로 기소했다. 검찰은 이토마토 등의 행위가 대포폰을 만들 수 있는 개인정보 불법 수집에 해당한다고 주장했다. 하지만 당시 통신 업계는 물론 방통위도 ‘IMEI’와 ‘USIM 시리얼번호’는 그 자체로 개인식별이 가능하지 않다며 무리한 기소라고 비판했다. 검찰은 “그래도 통신사 정보와 결합하면 문제 아닌가?”라고 했지만, 통신사 정보는 함부로 접근할 수 없다.

인터넷 업계 관계자는 “검찰이 스마트폰용 앱을 기소한 것은 세계적으로 유례가 없는 일”이라면서 “단말기 일반 정보인 IMEI와 USIM 시리얼 넘버까지 개인정보로 보고 별도의 동의절차를 밟아야 한다면 빅데이터 서비스는 꿈도 못 꿀 일”이라고 우려했다.

 

방통위는 최근 자체로는 개인식별이 불가능한, 조합·분석 또는 처리를 목적으로 이용내역을 수집하는 경우 정보주체의 동의를 얻지 않아도 되는 내용의 ‘빅데이터 개인정보보호 가이드라인안’을 마련했지만, 경실련 등 시민단체는 심각한 인권침해라며 반대하고 있다.

정태명 성균관대 소프트웨어학 교수는 “빅데이터로 세상이 효율화되고 관련 산업이 발전하려면 무엇보다 개인정보보호에 대한 사회적 신뢰를 만드는 게 중요하다”면서 “글로벌 기준에 맞는 규제와 기업의 정보보호 인식을 높이기 위한 교육과 홍보가 병행돼야 한다”고 말했다.