개인정보는 사실상 ′공공정보′

개인정보는 사실상 '공공정보': 전성운 / 기사승인 : 2011-12-05 13:43:37

유출되도 대책 없다

넥슨의 1천320만명 개인정보 유출사태로 인해 기업의 ‘개인정보 수집’이 다시 한번 도마 위에 올랐다. 넥슨은 “지난달 24일 해킹이 발생해 1천320만명 규모의 해킹 피해를 입었다”고 다음날인 25일에서야 방송통신위원회에 신고했다. 이 때문에 일각에서는 “넥슨이 ‘꼼수’를 부렸다”고 비판하고 있다.

언론과 여론의 관심을 돌리기 위해 금요일 오후를 노려 알리고 일을 일사천리로 진행했기 때문이다. 네티즌들은 “넥슨이 ‘피해자’인척 하는꼴이 우습다”고 분노하고 있다. 현대캐피탈, 네이트 등 그간 개인정보 유출사건에서도 기업들은 어떠한 책임도 지지 않았다. 이 때문에 네티즌들은 “개인정보는 대한민국에선 ‘공공재’인것같다”는 뼈있는 농담을 서슴치 않고 있다.

▲ 넥슨은 지난달 28일 서울 강남구 역삼동 르네상스호텔에서 해킹관련 긴급 기자회견을 열었다. (오른쪽부터) 넥슨 서민 대표, 신용석 최고보안책임자, 안인숙 커뮤니케이션센터장, 강신철 이사, 조성원 퍼블리싱 본부장이 고개 숙여 사과하고 있다.

네이트·싸이월드 3천만명 해킹의 여파가 아직 가시지도 않았는데 이번에는 온라인 게임 업체 넥슨에서 또다시 큰 게 터졌다. 무려 1320만명의 개인정보가 유출된것이다. 넥슨은 “지난달 24일 해킹사실을 인지하고 25일 방송통신위원회에 신고했다”고 밝혔다.

그러나 이를두고 일각에선 ‘늦장대응’이란 비판을 내놓고 있다. 전문가들은 “실제 해킹은 더욱 전에 발생했는데 넥슨의 모니터링이 늦었을 가능성이 크다”며 “늦게 발견했다면 대처라도 신속해야 했는데 이를 관심이 뜸해질 시간까지 늦춰 발표한 정황이 있다”고 설명했다.

경찰이 수사에 나섰지만 “이미 유출된 개인정보는 되돌릴 수 없기 때문에 결국 모든 대책은 ‘사후약방문’에 불과하다”는 것이 전문가들의 지적이다.

◇ 기업들 “규제 때문에…”, 네티즌들 “변명하지 말라”

사실 네티즌들은 이미 ‘개인정보유출’에는 무덤덤한 태도를 보이고 있다. 피해자들이 걱정하는 것은 개인정보보다 ‘해킹’으로 인해 자신이 돈을 주고 구매한 게임머니에 문제가 생길까 하는 것들이다.

실제로 대부분의 피해자들은 “주민등록번호 같은 건 사실상 ‘공공정보’나 마찬가지”라며 “이미 퍼질 대로 퍼져 개인정보라 하기도 민망하다”고 말하고 있다. 구글 같은 검색사이트에서 검색하면 얼마든지 쉽게 구할 수 있는 것이 ‘한국인 주민등록번호(KSSN)’이기 때문이다.

네티즌들이 진짜 분노하는 부분은 기업들의 태도다. 한 네티즌은 “매번 이런 사태가 발생 할 때마다 기업들은 자신들도 마치 피해자인양 행세 한다”며 “아주 역겨운 광경”이라고 표현했다.

그러나 기업들 입장에서도 할말은 있다. 넥슨 서민 대표도 지난달 28일 해킹 관련 기자간담회에서 “개인정보 수집을 최소화해 해킹 피해를 줄이기 위해 노력하고 있지만 각종 규제 때문에 어쩔 수 없이 주민번호를 수집해야 하는 상황”이라고 밝혔다.

넥슨은 “청소년 심야게임 차단(셧다운)제도가 시행됨에 따라 이용자의 나이를 확인하기 위해서, 또 게임에 필요한 아이템을 구입하기 위한 전자상거래 규정상 주민번호가 필수적”이라고 설명했다.

방송통신위원회는 지난 8월 네이트·싸이월드 해킹 당시“ 인터넷상 주민번호 수집과 이용을 제한하고 개인정보 유효기간제를 도입한다”고 밝혔지만, 넥슨과 같은 상당 수 인터넷업체는 주민번호 수집과 이용이 불가피한 상황이다. 개인정보 보호와 관련한 정부 정책이 자체가 모순이라는 지적이 많다.

◇ “기업에 대한 실질적 처벌 필요”

지난 네이트·싸이월드 3천만명 해킹사태 당시에도 네티즌들은 “피해자인척 하지 말라”며 기업에 대한 국가차원의 실질적인 처벌을 요구했었다. 그러나 아직까지 국내에서 ‘해킹으로 인한 개인정보 유출’과 관련해 기업이 처벌을 받은 사례는 전무하다.

국내 주요 포털 등 인터넷 사업자들은 정보통신망법에 따라 주민등록번호와 비밀번호를 암호화했으니 책임을 다했고 마케팅 업체와의 정보 공유도 가입자 동의를 받았으니 문제없다는 견해다.

금융사와 유통업체들은 개인정보 유출로 소송을 당하더라도 ‘법’을 지켰기 때문에 승소 판결을 받았다. 1800만명이 유출됐던 옥션의 경우 법원이 “옥션의 과실을 인정하기 어렵다”는 이유로 원고 패소 판결을 내렸다. 황당한 결론이 아닐 수 없다.

전문가들은 “개인정보 유출이 확인된 경우 연간 매출액의 1%를 과징금으로 부과하거나 미국식 집단소송제도를 도입하는 등 기업에 실질적인 부담을 지우는 방안을 추진해야 한다”고 오래전부터 지적해 왔다.

미국식 집단소송제도를 도입하면 소송을 제기한 사람이 승소시 동일한 피해를 입은 사람도 함께 손해배상금을 받게 된다. 예를 들어 1인당 10만원 안팎의 손해배상금을 가정하면 최대 3500만명의 개인정보가 노출된 네이트 사건의 경우 약 3조5000억원을 배상금으로 지급해야한다. 기업의 보안투자를 자연스럽게 유도할 수 있다는 것이다.

◇ 이게 다 ‘실명제’ 때문

하지만 근본적 원인은 ‘개인정보’를 받아야만 하는 우리나라 인터넷 산업의 구조적 모순에 기인한다는 의견이 대부분이다. “개인정보를 요구하는 제도가 국내 인터넷 서비스의 글로벌화를 가로막는다”는 지적도 계속되지만 방통위의 태도는 한결같다.

방통위의 높으신 분들이 그렇게 좋아하는 미국과 비교해보면 더욱 이상함을 알 수 있다. 최근 전세계에 8억명의 가입자를 지닌 소셜네트워크서비스(SNS) 페이스북은 미국 연방통상위원회(FTC)와 개인 정보 보호를 실행하기로 합의했다.

FTC는 성명을 통해 “향후 20년간 보다 엄격한 조건으로 개인 정보 보호를 실행하기로 한 페이스북에 대해 사용자들이 동의를 표했다”고 전했다. 페이스북은 이를 위해 개인 정보 보호를 위한 실행 평가를 매년 독립적으로 받기로 했다.

FTC는 지난달 초 “페이스북이 기존보다 더 많은 개인 정보가 노출될 수 있도록 설정을 바꾸면서, 개인 프라이버시를 침해 당했다”고 주장하는 사용자들과 협의를 해왔다. 전문가들은 이번 결정을 두고 “미래 개인 정보 사용에 대한 페이스북의 무책임한 태도를 바꾼 포괄적인 법적 명령”이라고 평가했다.

이렇듯 FTC는 구글, 트위터 등으로 인한 사생활 침해 문제가 제기되자 인터넷 업체들을 대상으로 개인 정보 보호법을 꾸준히 강화해왔다.

반면, 방통위는 해킹 사건시마다 매번 “개인정보 수집은 필수적인 것이 아니다”라고 발뺌하고 있지만 실제적으로 국내 인터넷업체들은 ‘개인정보수집’이나 ‘본인인증’ 없이는 사업 자체가 불가능하다.

그러나 방통위는 정부와 여당의 관리하에 있으면서 ‘국민을 감시’하는 역할을 수행하고 있는 관계로 ‘개인정보 수집’이나 ‘본인인증’과 같은 제도를 절대로 버리지 못할 것으로 보인다.