금융·이통사에 새나간 개인정보 2억건 넘어

거듭되는 '유출'에도 솜방망이 처벌에 대책은 ‘제자리’
"개인정보 보호 전담기구 설치·관련법 강화 필요" 지적

2014-01-26     김창성 기자

[매일일보 김창성·강미애 기자] 사상최대 카드사 고객정보 유출로 대한민국이 떠들썩하다. 불과 몇 년 사이 똑같은 사건이 각 분야에서 지속적으로 발생되고 있지만 철저한 대책 마련은 고사하고 관련자에게는 솜방망이 처벌만을 내리고 피해자에게는 제대로 된 보상도 해주지 않고 있는 실정이다.

26일 업계에 따르면 사상최대 카드사 고객정보 유출과 관련해 그동안 관련 업계의 관리 부실 뿐만 아니라 정부의 후속조치에도 문제가 있는 것으로 나타났다.국회 미래창조과학방송통신위원회 소속 이상일 새누리당 의원은 최근 안전행정부·방송통신위원회·금융감독원으로부터 ‘개인정보 유출신고 및 제재 현황’ 자료를 받아 공개했다.이 자료에 따르면 이번 3개 신용카드사의 1억400만건을 포함해 최근 5년간 대규모 개인정보 유출사고가 발생한 금융사와 기업, 공공기관은 모두 58곳이며, 유출된 개인정보는 1억3752만건에 달한다.그러나 안행부 등은 유출사고가 발생한 14곳에 대해 고작 9439만원의 과태료만 부과하고 후속조치를 취하지 않은 것으로 나타났다.전문가들은 개인정보 보호를 전담하는 기구의 필요성과 일반법인 ‘개인정보보호법’을 강화해 적용 범위를 확대하는 방안을 적극 권유하고 있다.

어떤 사건들이 있었나

최근 KB국민·롯데·NH농협카드 등 3개 카드사의 대규모 고객정보 유출 사태 말고도 지난 2011년에는 삼성카드와 하나SK카드서 회사 내부 직원이 각각 80만여 건과 4만5000건의 고객 정보를 개인적으로 보관하다 적발된 바 있다.IBK캐피탈에서도 내부 직원에 의해 5800여건의 개인 정보가 유출됐었다.같은 해 현대캐피탈은 175만여건, 한화손해보험은 16만건의 고객 정보가 유출됐으며 외부에 해킹되기도 했다.2011년 11월부터 2012년 2월 사이에는 한국SC은행에서 외주업체 직원에 의해 은행 전산망에 저장된 고객 10만4000여명의 정보가 대출모집인에게 전달된 사건도 발생했다.메리츠화재는 지난해 2월과 5월 두 차례 내부 직원이 16만4000여건의 고객 신용 정보를 빼돌려 보험 대리점에 제공했던 것으로 드러나기도 했으며, 4월에는 한국씨티은행에서도 내부 직원이 3만4000여건의 대출 채무자 정보를 인쇄해 대출모집인에게 전달한 혐의로 검찰에 구속되기도 했다.금융권 말고도 고객 정보 유출 사례는 빈번했다. 지난 2008년 2월 온라인 마켓인 옥션에서는 1800만명의 고객정보가 유출됐다.같은해 4월에는 SK브로드밴드에서 600만건의 고객 정보가 유출됐으며 9월에는 GS칼텍스에서 1125만건의 고객 정보가 유출됐다.2011년 7월에는 포털 사이트인 SK커뮤니케이션즈에서 무려 3500만명의 고객 정보가 외부로 유출됐으며 그 밖에 넥슨 1320만명, KT 870만명 등의 고객 정보 유출 사례가 있었다.개인정보업무 이관 등을 이유로 이번 제출 자료에서 빠진 것까지 합하면 5년간 유출된 개인정보는 2억건이 넘는 것으로 알려졌다.

개인정보 유출 왜 일어나나

기업들이 모든 국민의 신상정보를 무차별 수집하고 있는 이유가 가장 크다.수 천 만명의 가입자를 보유한 온라인 유통업체는 물론 주요 대기업과 금융회사, 심지어 피자가게와 PC방까지 불필요할 만큼의 개인정보를 모으고 있다.수시로 불거지는 정보 유출의 규모는 이에 비례해 커졌다. 공공연히 떠돌아다니는 개인정보 탓에 국민 대다수는 전화마케팅, 스팸문자, 피싱에 노출되고 있다.기업들은 경품 제공이나 할인 혜택을 미끼로 더 상세하고 은밀한 정보를 요구하면서 마케팅 기법이라고 둘러댄다.나종연 서울대 소비자학과 교수는 “기업 업무에 필요한 정보만 수집해야 하지만, 언젠가 써먹을 것이라는 생각에 지나치게 많은 정보를 수집한다”고 꼬집었다.유출된 정보는 건당 수 십원~수 백원에 암거래돼 개인정보를 영업에 활용하는 대리운전, 결혼정보업체, 보험설계사, 대출모집인, 도박·음란사이트에 넘어간다.결국 무분별한 개인정보 수집과 허술한 관리는 다수의 불특정 국민에게 피해를 준다.수시로 날아오는 스팸 문자 메시지나 상품 권유 전화는 물론 보이스 피싱과 스미싱 등 범죄에 노출되는 것이다.한국인터넷진흥원 개인정보침해신고센터에 접수된 개인정보 침해신고 상담은 2009년 3만5167건에서 2011년 12만2215건, 2013년 17만7736건 등으로 급증했다.취업포털 잡코리아가 2012년 직장인 805명을 설문조사한 결과에서는 하루 평균 6.8회의 ‘스팸’ 연락을 받는다고 응답했다.

정보보호 관련 통합 대책 절실

지난 22일 신제윤 금융위원장이 밝힌 고객정보 유출 방지 종합대책에 따르면 우선 금융위는 올해 1분기 금융사별로 정보보유 현황에 대한 자체점검과 타당성 평가를 시행, 불필요한 정보 수집을 중단하도록 할 계획이다.금융사가 고객 정보를 보유하는 기간도 거래 종료일로부터 5년간으로 제한하며 금융지주 계열사 간의 정보공유도 고객 동의 없이 불가능토록 하는 등 내부 강화에도 나선다.외부 정보 유출도 차단하기 위해 외부영업(보험TM·대출상품 권유 등 마케팅 활동) 목적의 활용도 엄격히 제한해 정보를 불법유출·사용한 대출모집인 등은 자격을 박탈하고 향후 타 업권 모집인 등록도 제한(원스트라이크 아웃제)하기로 했다.그러나 이 같은 대책은 지난해 있은 KT 개인정보 유출 사건과 관련해 방송통신위원회가 내놓은 ‘개인정보보호 및 불법 텔레마케팅(TM) 방지를 위한 개인정보보호 개선 방안’과 비슷해 분야를 초월한 근본적 개인정보보호 방안이 필요하다는 지적이다.현재 정보보호에 관한 부처만도 금융위원회, 방송통신위원회, 안전행정부, 개인정보보호위원회로 나뉘어졌고 이들에서 적용되는 법도 전자금융거래법, 신용정보법, 정보통신망법, 개인정보보호법 등으로 제각각이다.특히 이번 카드 유출 사태를 일으킨 카드3사는 ‘정보보호관리체계’(ISMS)도 외면한 것으로 나타났다.ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도인데 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.이에 대해 정태명 성균관대 소프트웨어학과 교수는 “각 부처에서 개인정보 관리가 제각각 이뤄져 문제인데 이번 대책에서 빠졌다“고 지적하며 “중심적인 개인정보 보호를 전담하는 기구를 두고 일원화된 법 또는 기준에 따라 제도를 운영하도록 해야 한다”고 권고했다.오용석 한국인터넷진흥원 개인정보안전정책팀 팀장 역시 “개인정보보호 관련 통합기구가 필 요하다”며 “개인정보보호 관련 법 체계도 관련 법 가운데 일반법인 ‘개인정보보호법’을 강화해 적용 범위를 확대하고 금융, 의료 등 개별 영역의 법은 불가피한 경우에 한해 최소화해나가야 한다”고 강조했다.