하루가 멀다하고 고객정보가 유출되는 사건이 줄을 잇고 있다.

언제 어디서 내 개인정보가 범죄의 사각에서 이용될지도 모른다는 불안이 엄습해 오고 있는 것도 사실이다.

한국의 정보보호가 왜 이런 지경에 이르렀을까.

정부나 관련 산하기관의 철저한 대비책 마련과, 이에 따른 책임소재도 그 어느때 보다 강화되야 한다는 여론이 빗발치고 있다.

▲ 지난 1월 금융사의 대규모 개인정보 유출로 서울 소공동 롯데백화점 내 롯데카드센터가 2차 피해를 막기 위해 신용카드를 재발급 받으려는 고객들로 북새통을 이루고 있다.

소득수준·신용등급까지 빼내

지난 1월 검찰은 KB국민카드, 롯데카드, NH농협카드 3사에서 1억400만건의 고객정보 유출이 발생했다고 발표해, 큰 사회적 파장이 일었다.

이는 지난 2011년 발생한 싸이월드 3500만건을 훨씬 뛰어넘는 역대 사고 중 하나로 기록 될 전망이다.

또 최근에는 KT의 1200만명 개인정보와 보험사 14곳에서 1만3000여건의 유출이 확인 돼 국민을 불안하게 하고 있다.

더욱이 주민번호를 넘어 개인 소득, 신용등급 등 민감한 사항까지 유출 돼 문제가 더욱 심각하다.

이제는 개인정보가 아닌 공공정보라고 불러도 무방할 지경이다.

이러한 사고가 계속 발생하는 원인은 무엇일까? 첫번째로는 해당 업체의 개인정보에 대한 보안의식 결여다.

경찰 수사로 밝혀진 카드사 유출경위는 해당 카드사와 협력업체인 신용평가업체에 근무한 직원의 소행으로 알려졌다.

분실·위변조 탐지 시스템 개발담당자가 아무런 제재 없이 이동식 저장장치에 담아 유출한 것.

기업 스스로 말하는 ‘소중한 고객정보’라면 까다로운 접근 절차와 승인 과정이 있어야 함에도 불구하고, 이렇듯 쉽게 유출된다면 이는 기업이 말하는 ‘소중한 고객정보’의 취급에 문제가 있다는 지적이다.

두번째는 금융당국의 허술한 관리 감독과 솜방망이 처벌이다.

2008년 이후 발생된 금융기관 고객정보 유출사건 15건에 대한 조치를 보면 주의 경고 14건, 과태료 600만원 부과 5건, 임직원 주의 경고 등이다.

이런 금융당국의 봐주기식 처벌은 기업의 허술한 고객정보 관리를 방조한 것과 다름이 없다.

전문가들은 개인정보 유출을 막기 위해 우선 돼야 할 것으로 개인정보에 대한 인식전환을 손꼽는다.

기업의 과도한 개인정보 요구나 이를 대수롭지 않게 생각하는 소비자의 인식이 바뀌어야 한다는 것.

소비자 인식 전환도 필요

이와 함께 금융당국의 강력한 처벌이 뒷받침 돼야 한다는 지적이다.

주의·경고와 고작 600만원 과태료는 금융당국 스스로 개인정보를 얼마나 가볍게 인식하는지에 대한 반증이기 때문이다.

또한 엄청난 양의 개인정보를 취급하는 기업과 이를 관리 감독하는 금융당국은 유출방지 관리체계도 재검토 해야 할 것으로 보인다.

아무리 훌륭한 보안 시스템도 접근 절차나 행동 요령 등이 지켜지지 않는다면 이러한 초유의 사태는 언제든 다시 발생할 수 있다.

보안업계 관계자는 연이어 터지는 개인정보 유출사건에 대해 “정부의 정보보호 업무에 대한 무능과 부실, 보안 문제를 심각하게 여기지 않는 기업의 업무 태만과 방기, 금융당국의 정보보호 업무에 대한 안이한 대처와 무책임 등이 삼위일체가 되어 일어난 필연적 결과”라고 말했다.

온라인정보 보호에 한계

지난 3월10일 정부는 ‘금융분야 개인정보 유출 재발방지 종합 대책’을 발표했다.

이번 대책은 크게 2가지로 정보수집의 각 단계별 정보보호를 강화하는 조치와 금융회사의 책임강화로 요약된다.

우선 개인정보 보호를 위해 ▲정보수집 항목의 최소화 ▲주민등록번호 수집 최소화 및 암호화 ▲ 금융지주회사 내 계열사간 개인정보 보유 활용 제한 ▲ 제3자 정보 제공 시 이용자 동의권의 실질적 보장 ▲ 수집 정보의 파기에 관한 절차 강화 등이 추진된다.

금융회사의 책임을 강화하는 조치로는 ▲ 정보보호 연차보고서 작성 ▲ 정보보호 최고 책임자의 겸직 제한 ▲ 징벌적 과징금제 도입 ▲ 기업에 대한 형사처벌 및 행정제재 강화 등을 명문화 했다.

그러나 일부에서는 이번 대책이 금융권에만 제한 돼 이동통신사와 온라인게임 등 온라인상에서 발생하는 개인정보 보호에는 한계가 있다고 지적하고 보다 구체적이고 종합적인 대책이 필요하다고 조언하고 있다.

이와 함께 정치권에서는 분야별로 나눠져있는 개인정보 보호법을 통합하는 ‘통합개인정보법’을 추진할 계획인 것으로 알려진 가운데 안전행정부는 “광범위한 법 개정이 필요한 사안이라 충분한 시간이 필요하다’ 고 밝혔다.

지난 7년동안 연례행사처럼 개인정보 유출이 일어 났음에도 정부와 정치권 어느 하나 근본적인 대책마련이 미흡했다는 점은 우리사회의 안일한 개인정보 인식과 일맥상통한다고 할 수 있다.

개인정보가 악용된 보이스피싱의 경우 TV 방송의 개그 소재로 활용될 정도다.

현실에선 개그프로보다 더 우스운 사례도 있다. KT의 개인정보 유출 피해를 확인하기 위해 개인정보 제공에 다시 동의 해야 하는 기막힌 상황이 벌어지기도 했다.

금융당국과 기업은 해킹과 유출방법에 대해 혀만 내두를 것이 아니라, 보다 근본적인 해결책을 마련해 소비자들에게 검증 받아야 할 것이다.