이글은 이코노미 인사이트(Economy Insight) 2012-09-01일자 기사 '사법 면죄부가 개인정보 유출 조장'을 퍼왔습니다.
국내 이슈 ● 기업 개인정보 유출 원인과 대책 무엇인가
뉴시스
기업들 정보 수집에만 열중하고 관리는 소홀… 엄중한 책임 묻는 법개정 시급
고객 개인정보가 대량으로 유출되는 사태가 끊이지 않고 있다. 1천만 명 이상 정보가 유출된 경우만 해도 여럿이다. 그런데도 사건이 끊임없이 재발되고 있다. 해당 기업에 관리 부실에 대한 책임을 엄중하게 묻지 않기 때문이다. 기업들은 아무리 많은 개인정보가 유출돼도 몇억원의 벌금을 내거나 피해자에게 1인당 10만원 안팎의 위자료를 지급하면 그만이다. 수천만 명씩 피해자가 나오고 있음에도 정부는 이런 현실을 방조하고 있다.
국내의 간판 통신기업 KT가 지난 2∼7월 지속적으로 해킹을 당해왔고, 그 결과 870만 명의 가입자 정보가 유출된 사실이 밝혀졌다. 오랜 기간 해킹을 당하고도 이를 눈치채지 못했고, 온 국민을 상대로 서비스를 제공하는 통신업의 특성상 이용자들의 반발이 어느 때보다 컸다. 다행히 범행을 저지른 이들이 모두 검거됐다.
인터넷이 국민 대다수의 일상생활에서 보편화한 2000년대 중반 이후 대기업들의 개인정보 유출 사건이 끊이지 않고 있다. 옥션(1081만 명), GS칼텍스(1100만 명), 넥슨(1320만 명), SK커뮤니케이션즈(3500만 명) 등 유출 규모가 1천만 명을 넘어서는 경우도 여럿이다. 웬만한 대한민국 국민은 개인정보가 두세 차례씩 유출됐을 정도다. 우리나라에서는 왜 이렇게 기업들의 대규모 개인정보 유출이 끊이지 않는 것일까? 대기업들의 개인정보 유출사를 살펴보면 자연스레 그 답이 나온다.
2005년 5월 온라인게임 (리니지2) 회원 120만 명의 아이디와 비밀번호가 닷새 동안 일반에 노출되는 사고가 일어났다. 서비스업체인 엔씨소프트가 게임을 업데이트하면서 이용자들의 암호화하지 않은 아이디와 비밀번호가 PC 로그파일에 남도록 했기 때문이다. 회사는 뒤늦게 비밀번호를 변경한 이용자만 접속을 허가하고, 총판을 동원해 PC방에 남겨진 아이디와 비밀번호를 삭제하는 등 법석을 떨었다. 2006년 3월에는 국민은행이 고객에게 인터넷복권 구매를 권유하는 전자우편을 발송하면서 3만2천여 명의 이름·주민등록번호·전자우편주소 등 개인정보를 담은 파일을 첨부하는 어이없는 사고가 일어났다.
두 사건은 우리 사회의 개인정보 보호 수준이 얼마나 허술한지를 단적으로 보여줬다. 기업들은 고객 정보를 모으는 것에 열중할 뿐 제대로 관리하는 데는 별 관심을 두지 않았던 것이다. 피해자들은 분노했고, 분노는 소송으로 이어졌다.
보상도 못받는 정보 유출 피해자
(리니지2) 사건 피해자 5명이 위자료 500만원씩을 지급해달라는 소송을 내자 이듬해 4월 서울중앙지법 허성욱 판사는 "개인정보 유출로 인한 고객의 구체적인 피해 사례가 없는 경우에도 아이디와 비밀번호를 유출한 기업은 고객에게 위자료를 지급해야 한다"며 회사 쪽에 50만원씩 위자료를 지급하라고 판결했다. 항소심에서는 보상 대상이 3명으로, 금액은 10만원으로 줄었다. 44명이 참여한 2차 소송에서도 10만원 배상금 지급 판결이 내려졌다.
국민은행 사건의 경우도 1심에서 국민은행은 이름과 전자우편주소만 유출된 2명에게 7만원, 주민등록번호까지 모두 유출된 1024명에게 10만원 등 총 1억여원을 배상하라고 판결했다. 2심에서는 금액이 각각 10만원, 20만원으로 변경됐다. 그러나 이용자들에게는 실익이 없었다. 길게는 5년까지 끌어가며 받아낸 10만원, 20만원에 큰 의미를 부여하기는 어려웠다.
2007년 인터넷실명제가 실시된 뒤 개인정보 유출은 양상을 달리하기 시작했다. 2008년 1월 온라인 경매 사이트 옥션에서 1081만 명의 개인정보가 유출되는 사고가 일어났다. 놀라운 점은 중국 해커들의 해킹 결과였다는 것이다. 실수가 아닌, 조직적인 범죄로 인해 개인정보가 유출된 옥션 사건은 우리나라 개인정보 보호 역사에서 한 분기점을 이룬다. 이를 계기로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)이 개정돼 기업들에 개인정보 보호 조치 의무가 부과됐다. 법조문을 인용해보자.
제28조(개인정보의 보호 조치) ① 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리 계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단 시스템 등 접근통제 장치의 설치·운영
3. 접속 기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안 조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터 바이러스에 의한 침해 방지 조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호 조치
② 정보통신서비스 제공자 등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.
제64조의 3(과징금의 부과 등) ① 제6호에 해당하는 행위가 있는 경우에는 1억원 이하의 과징금을 부과할 수 있다.
6. 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우
제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.
1. 제28조 제1항 제2호부터 제5호까지의 규정에 따른 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자
지금 보기에는 너무나도 당연한 얘기들이다. 하지만 이 조항이 생기기 전까지 기업들은 주요 정보를 암호화해 보관할 의무도, 침입 방지·탐지 시스템을 가동하거나 백신 프로그램을 설치할 의무도 없었다. 기업들도 허술했지만 정부나 정치권도 관심이 없긴 매한가지였다.
법률 개정 뒤에도 개인정보 유출이 끊이지 않았다. 그해 4월 하나로통신(현 SK브로드밴드)에서 회원 600만 명의 개인정보를 텔레마케팅 업체에 불법으로 건넨 사실이 밝혀졌고, 9월엔 GS칼텍스에서 내부 직원에 의해 고객 1100만여 명의 이름·주민번호·주소·전화번호 등 개인정보가 유출되는 사고가 일어났다.
지난해 4월에는 현대캐피탈이 대출 중개업체 관계자에게 해킹당해 175만 명의 개인정보가 유출되더니 7월에는 네이트와 싸이월드를 운영하는 SK커뮤니케이션즈에서 3500만 명의 개인정보가 유출됐다. 8월에는 한국앱손에서 35만 명, 11월에는 온라인게임 업체 넥슨에서 1321만 명, 올해 4월에는 교육방송에서 400만 명의 개인정보가 밖으로 흘러나갔다.
일반적으로 처벌 조항이 신설 또는 강화되면 해당 범죄는 줄어드는 게 상식이다. 그런데 개인정보 유출은 반대로 범죄가 더 확산됐다. 왜 그럴까? 법만 만들어놓았을 뿐 이로 인해 기소되거나 유죄판결을 받은 경우가 한 번도 없기 때문이다.
해킹으로 개인정보가 유출되면 기업은 이중적인 지위를 갖게 된다. 해킹을 당했으니 피해자지만 회원(가입자)과의 관계에서는 회원들이 맡긴 정보를 잘 관리하지 못한 가해자다. 국내의 행정·사법 당국은 기업을 피해자로서만 주목할 뿐 가해자로서 책임을 묻는 데는 인색하다.
KT의 표현명 사장(왼쪽 사진 오른쪽)과 송정희 부사장이 지난 8월 초 서울 광화문 사옥에서 고객 개인정보 유출 재발 방지 대책을 발표한 뒤 고개 숙여 사과하고 있다. 지난해 10월 서울 삼성동 코엑스 그랜드볼룸에서 열린 국제해킹방어대회 및 글로벌 보안콘퍼런스 '코드게이트 2011'에서 본선에 진출한 외국인 해커들이 실력을 겨루고 있다(오른쪽). 뉴시스
유명무실한 처벌 조항이 원인
사법기관은 해당 기업들에 한 차례도 형사적 책임을 묻지 않았고, 법원도 배상 책임을 엄격하게 판단해 기업 편을 들었다. 피해자 4만여 명이 100만원씩 400억원대 손해배상 청구소송을 제기한 GS칼텍스 사건에서 법원은 "실질적 피해가 발생하지 않았다"며 배상 책임이 없다고 판결했다. 옥션 사건에서도 무려 13만 명이 11건의 손해배상 청구소송을 제기했지만 3년 가까이 끈 뒤 회사 쪽에 면죄부가 주어졌다.
변화를 위한 시도가 최근 있었다. 경찰청이 지난 4월 해킹으로 1320만 명의 회원 정보가 유출된 게임회사 넥슨 법인과 서민 대표 등을 입건하고, 기소의견으로 검찰에 송치한 것이다. 하지만 서울중앙지검 첨단범죄수사2부(당시 부장 김봉석)는 최근 넥슨과 서 대표를 모두 무혐의 처분했다. 경찰이 어떻게든 전례를 만들어보려 했으나 검찰이 이를 가로막은 꼴이다.
검찰도 할 말이 없는 것은 아니다. 법 조항 자체가 그렇기 때문이다. 관련 법 조항은 '해당 기업이 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우'에 한해 기업에 책임을 물을 수 있다고 규정하고 있다. 기업의 부실한 조치와 해킹의 인과관계를 입증해야 한다는 얘기다.
하지만 이런 종류의 해킹은 대부분 중국에서 이뤄진다. 범인 검거는 물론 범죄의 전모를 밝히기가 매우 어렵다. 인과관계를 밝히는 것도 어려울 수밖에 없다. 실제 넥슨, SK커뮤니케이션즈, 교육방송 등 굵직한 사건들 모두 중국발 해킹의 결과다. 범인도 사건도 오리무중이다.
물론 기업 책임자들을 쉽게 형사처벌하도록 하는 것은 곤란하다. 형사처벌은 혐의가 분명하게 입증된 뒤에만 가능해야 한다. 하지만 과징금 1억원 이하의 행정처분을 내릴 때조차 형사처벌과 똑같은 수준의 입증 단계를 거치도록 한 것(64조)은 문제다. 행정처분은 감독·규제 당국이 기업의 책임 소홀을 묻는 행위로, 엄격한 혐의 입증이 필요한 사법 당국의 형사처벌보다 훨씬 낮은 수준의 제재다. 또 기업의 조치와 해킹 사이 인과관계 규명은 수사 당국의 몫이다. 이 조항대로라면 행정 당국(방송통신위원회)은 사법 당국의 확정판결 뒤에만 처분을 내릴 수 있다. 앞뒤가 뒤바뀐 셈이다.
실제 이 조항 때문에 방통위는 사소한 이유를 들어 넥슨에 과징금 7억여원을 부과했을 뿐 정작 관리 소홀에 대해서는 아무 조처도 취하지 못했다. 국내 형사사법 체계가 기업들에 최소한의 책임을 묻는 것조차 막고 있다.
이순혁 (한겨레) 경제부 기자 hyuk@hani.co.kr
댓글 없음:
댓글 쓰기