인터넷을 사용하고, 인터넷을 통해 물건을 구매하고, 인터넷뱅킹을 사용하면서 누구나 불안해하는 것이 있다. 바로 개인정보 유출이다. 개인정보 유출은 사생활 침해에 대한 불안감은 물론 사기 피해 등 금전적 손실까지 이어지기 때문이다. 개인정보 유출 사고는 끊이지 않는다. 국내^외를 가리지 않는다. 유출된 개인정보가 누구에게 흘러가 있는지 어디에 활용되고 있는지 알 수도 없다. 유출된 개인정보를 활용한 대출 권유 전화는 물론 개인용 컴퓨터에 바이러스 등 악성코드를 심어 각종 다른 정보를 빼내가기 위한 보이스피싱, 이메일까지 불법적 활용은 끊이지 않는다. 그 피해 규모는 산정하기 어려울 정도이다. 이로 인해 개인정보 유출에 대하여 늘 불안해하는 국민들이 지속적으로 늘어 가고 있다.

개인정보 유출을 막기 위해 정부나 기업들이 많은 노력을 기울이고 있는 것은 사실이다. 그러나 개인정보 유출에 따른 직접적인 피해를 입은 개인들이나 일반 국민들의 입장에서 보면 늘 불안감을 느낄 수밖에 없다. 지난 2011년 이러한 개인정보 유출을 막고 개인정보 보호를 체계적으로 추진하기 위해 개인정보보호법이 만들어졌다. 그러나 여전히 개인정보 유출과 그에 따른 피해는 진행형이다. 최근 개인정보보호위원회가 내놓은 제4차 개인정보 보호 기본계획(2021~2023년) 자료를 보면 “공공·민간 구분 없이 해킹, 개인정보처리자의 고의 또는 과실 등으로 개인정보 유출 및 노출 사고가 지속적으로 발생하고 있다”고 했다. 개인정보 유출에 대해 신뢰할 만한 통계를 내는 것 또한 쉽지 않다. 기본계획에는 “변화하는 환경과 정보주체의 편익 등을 고려하지 않은 규제로 기업의 부담은 증가하고 정보주체의 권익 보장 효과도 미흡하다”고 보고 있다. “정보주체의 실질적 권리 행사 및 취약계층 보호 강화가 필요하다”고 강조하고 있다. 법에 따른 개인정보처리 과정에서도 형식적 동의가 일상화되고 있고 정보통신 기술 발전으로 인한 데이터 처리가 복잡해져 개인의 통제권이 상실된 것으로 분석하고 있다. 사실상 개인정보의 주체인 개인이 기업이나 공공기관 등에 제공한 정보에 대하여 어떠한 형태로든 개입할 수 있는 수단이 마땅하지 않은 상태이다.

데이터 이동권, 자동화된 개인정보 처리에 대한 의사결정 거부권 등 정보주체의 능동적 권리 도입에 대한 사회적 논의가 필요한 시점이라고 기본계획에서 밝히고 있다. 또한 “다양한 개인정보 피해구제 및 권익보호 서비스가 마련되어 있으나 정보주체의 인지도나 침해 후 피해구제의 실효성에 대한 기대도 저조하다”고 보고 있다. 개인정보보호를 실질적으로 다루고 있는 개인정보보호위원회의 이러한 판단에는 여전히 문제가 상존하고 있다. 개인정보 유출의 근본 원인에 대한 접근이 제대로 이뤄지지 않고 있는데다가 개인정보 유출을 보다 효과적으로 통제하고 막기 위한 근본적인 해법에 대한 논의가 없기 때문이다. 많은 이들은 개인정보를 다루는 기업이나 공공기관이 개인정보 유출 등 침해 사고가 발생할 경우 외국처럼 상당한 수준의 과징금을 부과하고 처벌도 강화해야 한다고 보고 있다. 수만 건에서 많게는 천만 건이 넘는 개인정보 유출에 대하여 불과 수천만 원의 벌금이 부과되는 현 상황에서는 기업들이 굳이 개인정보 유출 방지나 개인정보 보호를 위한 투자에 공을 들이기 어렵다는 주장이기도 하다.

개인정보 유출 사건 끊이지 않아

미국 등의 경우에서 본다면 수조원의 벌금이 부과되는 것과는 너무도 큰 차이가 나는 상황이다. 최근 개인정보보호 관련 3개의 법률 즉 ‘개인정보 보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용 정보의 이용 및 보호에 관한 법률’ 등이 개정되면서 과징금 등 처벌의 정도나 강도가 높아지기는 했으나 아직도 기업이 개인정보보호에 보다 적극적인 태도 전환을 보이기에는 부족하다는 주장이 설득력을 얻고 있는 상황이다. 더 나아가 개인정보보호위원회가 내놓은 대책의 실효성도 논란이 되고 있다. 과거의 효과가 없는 정책을 반복하는 수준에 불과한 경우도 쉽게 찾아 볼 수 있다. 예를 들어 “개인정보 보호 인증제도 내실화^정보보호 및 개인정보 보호 관리체계 인증제도(ISMS-P) 개선”, “국민생활 밀접분야 및 신산업 분야를 중심으로 전문기관 및 자율규제단체 지정 확대”, “공공기관 개인정보 관리수준 진단체계 개선^평가지표 종합 개선, 서면(증빙자료 제출) 중심의 진단을 관리체계에 대한 현장점검 중심으로 변경 등 관리수준 진단의 내실화 추진” 등이 여기에 해당된다. 개인정보 보호 관리체계의 인증이 구체적으로 개인정보 유출 등 침해를 막는데 효과가 있다는 근거도 충분하지 않은데다가 인증을 받은 기업에서의 대규모 개인정보 유출 사건도 끊이지 않고 있기 때문이다. 공공기관에 대한 개인정보 관리 수준에 대한 진단도 마찬가지이다.

개인정보 보호의 출발점을 이제 다시 정립할 필요가 있다. 그 단초는 기업이나 공공기관에게 제공되는 개인정보 자체를 줄이거나 없애는 방안이 만들어져야 한다. 기업이 서비스를 제공한다는 목적으로 개인정보를 수집할 수밖에 없는 지금의 제도나 환경을 획기적으로 바꾸어 줄 필요가 있다. 인터넷 서비스를 이용하기 위해 이용자를 확인하도록 하고 있는 경우가 다수이다. 이를 위해 기업은 다양한 개인정보를 요구하게 된다. 그 과정에서 개인정보에 해당하는 이름, 생년월일, 전화번호, 주소 등을 요구한다. 또한 본인 확인을 위해 유사한 정보를 요구하는 과정도 거치게 된다. 개인정보보법에서는 이러한 개인정보가 전달되고 저장되는 전 과정을 엄격하게 관리하도록 하고 있다. 그러나 개인정보의 처리 과정에서 담당자의 실수, 불법 유출을 포함하여 시스템 결함 등이 겹쳐 정보 유출이 발생하는 것이다. 또한 개인정보를 훔쳐 불법 사업자들에게 판매 등을 목적으로 하는 해킹 등의 수법은 날로 진화하고 있다. 이 같은 환경에서 개인정보 보호를 효과적이고 효율적으로 하는 방법은 기업 등에 제공하는 개인정보를 최대한 줄일 수 있는 체계를 구축하는 것이다. 인터넷을 사용하고, 인터넷을 통해 물건을 구매하고, 인터넷뱅킹 사용하는 데 꼭 필요한 정보들을 개인이 쉽고 안전하게 보관하고 관리할 수 있도록 해야 한다. 필요 시 정보를 암호화하여 기업 등에게 제공하는 방식이 만들어 져야 한다.

‘디지털신원증’ 불안감 크게 해소

그런데 이러한 체계를 구축하기 위해서 반드시 필요한 것이 디지털신원증이다. 디지털신원증은 우리나라의 경우 주민등록증을 보안칩이 내장된 전자주민등록증으로 바꾸어 만드는 것을 말한다. 우리나라는 10여 년 전에 개인의 건강상태 정보를 함께 담는 전자주민증 발급에 대한 사생활 침해, 인권 침해 논란을 겪은 이후에 전자주민증 발급에 대한 논의를 더 이상 진행을 하지 못하고 있는 상황이다. 반면에 독일, 중국, 싱가포르, 일본, 에스토니아 등 다수의 나라에서는 이미 전자주민증 등을 발급하여 전자정부 서비스, 금융 거래 등 다양한 곳에 활용을 하고 있는 중이다. 이러한 디지털신원증이 보급되면 기업이나 공공기관 서비스를 이용하는 데 있어서 개인정보를 제공할 필요성이 현격하게 줄어들게 된다. 디지털신원증에 내장된 전자증표만을 제공하는 것만으로도 각종 법^제도에서 요구하는 본인확인 등 필요한 절차를 용이하게 처리할 수 있기 때문이다. 그렇게 되면 기업이나 공공기관들이 굳이 개인정보를 별도로 보관할 필요가 없게 되어 개인정보를 유출하거나 침해로 인한 사고를 당할 염려도 크게 줄어들게 되는 것이다. 더 나아가 디지털신원증에 내장된 개인정보는 해킹 등에 의해 쉽게 유출되기 어려운 구조이다. 대규모 개인정보 유출도 근본적으로 해결할 수 있다. 누구도 개인정보를 모아 별도로 보관할 필요가 없는 구조이기 때문이다.

과거 전자주민등록증 추진은 정부가 그 자체로 사생활 침해, 인권 침해 논란을 자초한 면이 크다. 그러나 그 이후에 관련 기술이 발달했고 전자주민등록증에 병력 정보 등 민감한 정보를 담을 필요마저 없는 상태이다. 더 나아가 지금의 주민등록증에 있는 주민등록번호나 지문 등도 디지털신원증 표면에 담지 않아도 된다. 즉 전자주민등록증 표면에 나타나는 정보도 기존의 주민등록증에 비해 적어진다. 주민등록번호는 생년월일로 바꾸어 표기하고 지문은 전자칩에 옮겨 담으면 된다. 디지털신원증이 발급되면 개인에게 여러 가지 편리함도 제공되기도 한다. 개인정보 제공이 현저하게 줄게 된다. 기업도 별도록 개인정보를 요구하고 관리할 필요가 크게 줄어들게 된다. 해커들이 개인정보 탈취를 위해 기업들을 해킹할 이유도 사실상 제거되는 것이다. 크게는 디지털신원증으로 여권을 대신할 수도 있게 된다. 디지털신원증을 발급하는 이웃 나라와 국가간 협정만으로 충분하게 여권을 대체할 수 있다.

다만 디지털신원증 발급 즉 전자주민등록증 발급은 이제 국민적 합의가 반드시 선행되어야 하는 사안 중의 하나가 되어 있다. 그러나 국민적 합의를 거치는 과정은 앞으로도 쉽지 않아 보인다. 전면적으로 디지털신원증 발급은 이미 어려운 상태이다. 반면에 디지털신원증은 전 세계적인 추세이다. 디지털신원증 발급이 이뤄지지 않는다면 국민들이 이용하는 전자정부서비스를 더 이상 효과적이고 효율적으로 개선하기가 어렵다. 디지털 세상에 대한 개인의 생활의존도는 날로 커지는데 지금의 개인정보관리 체계로는 각종 서비스를 보다 편리하고 하는 것은 이미 한계에 처해 있다고 보아야 한다. 국민 모두가 디지털신원증을 갖게 할 필요는 없다. 해법은 디지털신원증을 발급할 수 있는 근거를 만들되 자발적으로 필요로 하는 국민들에게만 발급해 주는 것이다. 이를 통해 디지털신원증의 안전성을 포함해 무분별한 개인정보 제공에 대한 불만과 유출 문제의 불안감 등이 크게 해소됨을 실제로 경험하게 하는 것이 우선되면 될 것으로 보인다. 전자주민등록증 형태가 어렵다면 운전면허증을 대체재로 활용하는 것도 좋은 수단이 될 수 있다. 디지털신원증은 개인정보보호의 가장 중요한 수단일 뿐만 아니라 다가오는 디지털세상에 반드시 필요한 근간 체계이다. 이제 더 이상 디지털신원증 발급 문제를 외면해서는 안 된다.

● 한호현 (테크칼럼니스트·공학박사) - 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.