“개인정보 이용계약 끝나면 파기”

정부가 인터넷에서의 정보침해 사고를 막기 위해 시행 중인 ‘정보보호 안전진단’ 제도가 느슨한 안전점검 기준 때문에 제 기능을 못하고 있다는 지적이다.

정보통신부는 2004년 7월부터 인터넷서비스업체(ISP)와 인터넷데이터센터(IDC), 연 매출이 100억 원을 넘거나 1일 평균 이용자가 100만 명을 넘는 포털, 쇼핑몰, 게임 사이트 등은 1년에 한 차례씩 의무적으로 정보보호 안전진단을 받도록 했다.

그러나 대부분 평소에는 정보보호에 소홀하다 진단일을 앞두고 서둘러 준비하는 등 형식적인 조치를 취하고 있는 것으로 알려졌다.

지난해 안전진단을 받은 A사 관계자는 “전체 직원이 10명도 안 되는 영세업체들이 정보보호 책임자와 담당자를 별도로 두고 정기적으로 정보보호 교육을 하기는 쉽지 않은 일”이라고 털어놨다.

안전진단제도 도입 당시 인터넷 업체들의 강한 반발로 진단 기준이 완화된 것도 이 제도가 제 기능을 하지 못하는 원인 중 하나다.

정보보호 컨설팅 업체의 한 관계자는 “최근 사회 문제가 되고있는 해킹에 의한 개인정보 유출 위험성 등은 진단 항목에서 빠져 있다”며 “업체들의 반발로 진단 기준이 당초 정부 계획보다 많이 약화된 게 사실”이라고 말했다.

실제 인터넷 게임업체 리니지는 지난해 3월 안전진단에서 필증을 받았으나 두 달 뒤인 5월 회원들의 ID와 비밀번호가 노출되는 사고가 있었다.

임종인(林鍾仁) 고려대 정보보호대학원장은 “영향력 있는 포털업체 등의 요구로 안전진단의 강도가 낮아져 제도의 실효성에 문제가 있는 게 사실”이라며 “일괄적으로 기준을 강화하는 것보다는 업체의 규모나 성격에 따라 지켜야 할 보안 수준이 다르기 때문에 각 업체에 맞는 맞춤형 진단 항목을 마련할 필요가 있다”고 말했다.

한편 정통부는 17일 서울 중구 무교동 한국전산원에서 열린 공청회에서 앞으로 정보기술(IT) 업체들은 사업을 정리하거나 정보 이용 계약기간이 만료됐을 때 고객의 신상정보를 의무적으로 파기하도록 하는 등의 내용을 담은 정보통신망법 개선안을 공개했다.

이종석 기자 wing@donga.com

동정민 기자 ditto@donga.com