개인정보유출 관련 사례 (1학년 4반 김민)

[김민(2014 1학년 4반)]

지난 13일 개인정보보호 입법청문회 자리에서 “개인정보 집적을 개선하지 않으면 개인정보 유출 사고는 다시 더 크게 일어날 것”이라던 이은우 변호사의 예언(?)은 사실이 됐다. KT에서 가입자 1200만 명의 개인정보가 유출된 것으로 밝혀졌다. 이 변호사의 ‘거대 집적자’로 예고했던 바로 그 대상이다.(▷관련기사 : 카드사 정보유출?…"집중된 개인정보, 언제든지 또")

▲ 13일 국회 미래창조과학방송통신위원회는 '개인정보보호 및 피해 확산 방지를 위한 입법청문회'를 개최했다 ⓒ미디어스

문제는 KT의 개인정보 유출은 이번이 처음이 아니라는 점이다. 지난 2012년 KT 873만 건의 고객 개인정보가 유출돼 텔레마케팅으로 사용됐다. 그 후, KT는 <고객정보 해킹 관련 재발방지 대책>을 발표했는데, 시기를 따져보면 이번 KT 개인정보 유출은 해당 대책이 발표된 지 6개월 만에 발생한 것이 된다. 그 뿐만이 아니다. KT는 2010년에는 6·2지방선거 운동기간 중 휴대전화 가입자 230만 명에게 동의도 받지 않고 376만4357건의 문자 메시지를 보내 3억 원의 매출을 올려 10억 원의 과징금이 부과되기도 했다. 이에 네티즌들 사이에서는 “KT의 개인정보 유출은 연례행사”라는 비아냥이 쏟아졌다.

이번 KT의 개인정보 유출의 문제는 KT의 ‘허술한 보안’에 있는 것으로 드러나고 있다. 하지만 정말 되짚어 봐야하는 부분은 개인정보 유출을 사전에 방지할 수는 없었는지 그리고 향후 어떤 대책이 필요한지에 대한 분석일 게다. 그런 점에서 이번 KT의 1200건 개인정보 유출의 문제를 놓고 규제기관인 방송통신위원회와 국회의 문제를 되짚지 않을 수 없다.

방통위, KT 개인정보 유출 조사 자격 있나?

방통위는 KT 개인정보 유출과 관련돼 민·관합동조사단으로 현장에 파견돼 조사를 실시하고 있지만 사실은 ‘공범자’라고 봐도 무방하다. KT에게 고객들의 주민번호를 수집할 수 있는 권한을 준 곳이 바로 방통위이기 때문이다.

방통위는 법적으로 ‘본인확인기관’을 지정하는 기관이다. <정보통신망법> 제23조의2(주민등록번호의 사용 제한)는 “이용자의 주민등록번호를 수집·이용할 수 없다”고 규정하면서도 예외조항을 뒀다. 그 중 하나가 ‘본인확인기관’으로 지정받은 경우이며, 그 권한은 동법에 따라 방통위가 가지고 있다. 이에 방통위는 ‘본인확인업무 수행을 위한 기술’ 등의 심사를 통해 해당업무를 “안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자에 대해 지정”하고 있다. 

그런 방통위는 지난해 12월 통신3사 SK텔레콤, KT, LG유플러스를 본인확인기관으로 지정했다. 당시 방통위는 “2달여 간 외부 전문가의 1·2차 심사를 거친 후 내린 결정”이라고 강조했다.

이로써 방통위가 ‘본인확인기관’으로 지정한 곳은 통신3사(SK텔레콤, KT, LG유플러스), 아이핀 사업자 3사(NICE신용정보, 서울신용정보, 코리앗 크레딧뷰로), 공인인증기관 5사(정보인증, 전자인증, 무역정보통신, 코스콤, 금융결제원) 11개 사업자로 늘었다.

문제는 당시 시민사회에서는 통신3사에 대한 본인확인기관 지정에 대해 “헌법재판소에서 재판관 전원일치로 인터넷 본인확인제에 대해 위헌 결정을 내렸는데, 그에 반하는 행위”라고 비판했다. 특히, KT에 대해서는 과거 개인정보 유출 당사자로서 “신중해야 한다”고 경고하기도 했었다. 개인정보 유출 사고가 났던 사업자에게 본인확인기관의 지위를 준다는 것 자체가 말이 안 된다는 얘기였다.(▷관련기사 :SKT·KT·LG U+가 본인확인기관이라는 꼼수)

이것이 방통위가 KT 개인정보 유출 사건에서 자유롭지 못한 이유이다. 그동안 ‘개인정보보호’ 활동을 해왔던 경실련, 소비자시민모임, 오픈넷, 진보네트워크센터, 함께하는시민행동이 6일 곧바로 성명을 내어 “공교롭게도 금융 개인정보 유출사건을 일으킨 코리아크레딧뷰로(KCB)와 이번 해킹사건의 당사자인 KT는 모두 방통위가 지정한 본인확인기관”이라고 꼬집은 이유이기도 하다.

▲ 황창규 KT 회장이 7일 오후 서울 종로구 세종로 KT 광화문사옥에서 기자간담회를 열어 개인정보 유출 사건에 대해 고개숙여 사과하고 있다(사진=연합뉴스)

국회, 민간 주민번호 수집 확대법안 추진 중

관련 법안을 만드는 국회는 개인정보 유출에서 자유로울 수 있을까. 그렇지 않다. KT 개인정보 유출 문제가 터지자, 여야는 한 목소리로 카드사 개인정보 유출에 따른 법안들이 2월 국회를 통과되지 못한 것에 대한 안타까움을 드러냈다. 한 국회의원의 경우, 개인정보보호 관련 법안 처리를 위한 ‘원포인트’ 국회를 주장하기도 했다. 물론 관련법 처리는 필요한 부분이다. 

하지만 국회에서 논의되고 있는 ‘개인정보보호를 위한 법안’들은 그 법안 자체로만 놓고 보면 “개인정보유출을 위한 법안”으로 볼 수밖에 없는 조항들도 포함하고 있다. (▷관련기사:국회, 개인정보 유출 대비 '이동통신 실명제' 추진)

특히, 논란이 큰 부분은 ‘휴대전화 실명제 의무화’이다. 여야 국회의원들은 ‘(타인명의의 등록 등)부정이용 방지’라는 명분으로 통신업체들로 하여금 본인확인을 강화하는 내용을 포함시키기로 합의했다. 만일, 해당 법안이 통과된다면 각 통신사 대리점에서는 본인확인을 강화하기 위한 어떤 조치들을 해야만 하는데, 그 방법으로는 가장 돈이 안 들고 간편한 ‘주민번호’ 확인·수집이 될 것이란 사실이다. 이는 곧, 개인정보 유출 사태를 다수 겪어온 국민들은 ‘민간에서 주민번호 수집 제한을 강화해야한다’는 요구에 정면으로 반하는 정책이기도 하다.

해당 법안에 대해 시민사회는 “주민번호의 민간수집을 제한해야 한다는 국민들의 요구에 반하는 방안일 뿐 아니라, 모바일 서비스를 통한 개인정보 수집이 증가하고 있는 상황에서 이것이 실명제와 결합할 때 개인의 프라이버시에 엄청난 부정적 영향을 미칠 수 있다”고 반대하기도 했다. 이들 단체들은 이를 경고하기 위해 ‘의견서’를 국회 미래창조과학방송통신위원회 소속 국회의원들에게 전달했지만 달라진 것은 없었다. 해당 법안은 현재 미방위 산하 법안심사소위에서 여야 합의로 통과된 상태로 상임위 의결을 앞두고 있다. 큰 이변이 없는 한 미방위-법사위-국회 본회의를 통과할 것이다.

▲ 서울시내 한 휴대전화 판매업체의 모습(사진=연합뉴스)

개인정보유출 사고, 정부·국회 '정보집적' 문제 회피해선 안돼

‘대량’의 개인정보 유출 사건 때마다 정부와 국회는 갖가지 정책들을 쏟아냈다. 하지만 앞서 살펴봤듯, 정부와 국회는 개인정보 유출의 원인으로 지적돼온 ‘개인정보 집적화’와 ‘주민번호의 민간사용’ 개선에 대해서는 늘 한 발 빼왔던 게 사실이다. 오히려 그 반대의 정책들을 만드는 데에 시간을 허비했다.

구체적으로, 정부(방통위·안행위)는 ‘개인정보 집적화라는 데에서 문제가 있다’는 시민사회의 지적에도 불구하고 인터넷에서 주민번호 대체할 수 있는 방안으로 아이핀(i-PIN) 사용을 유도해왔다. 그로 인해 아이핀 사용율을 급등했고 발급 건수가 1000만이 넘었다. 이미 국민 1/4가 아이핀을 사용하고 있는 셈이다. 그러나 최근 음지에서 거래되고 있는 개인정보에 아이핀 700여건이 포함돼 있는 것으로 확인돼 충격을 주는 사건이 발생했다. 안행위는 또한 시시 때때로 ‘정보인권이 다량 포함된’ 전자주민증 도입을 시도하고 있는 중이다. 

만일, ‘주민번호에 대한 민간사용 규제를 강화했더라면’ 그리고 ‘개인정보의 집적화 방안을 사전에 세웠었다면’ 이 같은 불행은 발생할지언정 끊임없이 반복되지는 않았을 것이다. KT 그리고 앞으로 더 발생할 수밖에 없는 개인정보 유출 구조를 만들고 개선에 방관하고 있는 정부와 국회의 책임이 큰 이유다.

<출처: 미디어스>