[시론/임종인]개인정보 보호 정부가 나서라

국내 공공기관의 홈페이지 114곳을 점검한 결과 41곳에서 주민등록번호 등 개인정보가 노출되고 있는 것으로 나타났다(6일자 동아일보 A1면 보도). 주민번호 등 개인정보 노출의 위험성은 단순한 사생활 위협 가능성에 그치지 않고 부정 사용을 통하여 심각한 범죄로 이어질 수 있다는 점에 있다. 예를 들어 주소 계좌번호 카드번호 등 금융정보가 노출되면 범죄자는 해킹으로 인증서, 비밀번호 등을 알아내 현금 인출, 카드 부정 사용 등 범죄를 저지를 수 있다. 지난 몇 년간 개선되었다고는 하지만 행정자치부의 지난해 자체 감사에서도 행정기관 홈페이지 305곳 중 92곳이 개인정보를 노출할 정도로 공공기관의 보안은 취약하다.

가장 큰 원인은 정보 보호에 대한 인식 부족이다. 환경에 대한 인식은 크게 향상되었지만 ‘사이버 세상의 환경 문제’라 할 수 있는 정보 보안에 대한 인식 수준은 아직 ‘중요하지만 귀찮은 것’쯤에 머물고 있다.

경제협력개발기구(OECD)는 가이드라인을 통해 국가의 정보화 정책 수립 시 정보 보호 문제를 우선 고려하도록 권고하고 있다. ‘정보화 라이벌’인 미국은 매년 정보화 예산의 6∼8%를 정보 보호 분야에 투자하고 있다. 반면 우리나라는 매년 3조 원가량인 정보화 예산 중 1.5% 미만인 400억 원을 배정하고 있다.

또 각 기관의 정보 보호 담당관은 과장급 이하이다. ‘끊임없는 공격과 방어’라는 정보 보호 분야의 특성상 신속하고 지속적인 보안 조치가 중요하지만 담당자가 하위직이어서 부처 최고책임자에게까지 잘 전달되지 않는다. 게다가 대부분 겸직이고 잦은 보직 변경으로 전문성이 떨어진다. 당연히 내부 직원에 대한 정기교육 등 기본 조치와 보안 솔루션의 적기 배치가 잘 안 된다.

정부도 작년 인터넷 민원서류 위변조 사건 이후 정보 보호의 심각성을 깨닫고 담당관에 대해 개인정보 보호 교육을 시행하고 예산도 늘렸다. 하지만 더욱 근본적인 해결책이 마련되어야 한다. 그렇지 않으면 ‘정보화 시대의 선진국’이라는 국가 목표는 타격을 받을 것이다.

몇 가지 방안을 제시하자. 첫째, 실효성 있는 개인정보보호법을 제정해야 한다. 현재 공공기관 개인정보보호법, 민간 영역의 정보통신망법, 금융기관 신용정보보호법 등이 있다. 하지만 대학병원, KBS, 한국전력이나 금융기관의 예에서 보듯 민간과 공공의 영역 구분이 모호하고, 융합(컨버전스)의 시대에 그 구분이 무의미해지고 있다. 또한 현재의 법들은 적용상 여러 한계점이 있다. 이러한 때 여러 분야를 아우르는 기본법이 제정되어 함께 시행되면 각 영역의 법들도 더욱 힘을 받을 것이다.

둘째, 기획예산처 국무조정실 등은 각 기관의 개인정보 보호 등 보안에 대한 노력과 실패를 기관장 인사와 기관 예산에 적극 반영해야 한다. 또한 기관의 고위직인 감사관이 최고보안책임자(CSO)를 맡게 하여 권한과 책임을 강화해야 한다.

셋째, 현재 설치된 행정정보 공유 추진위원회를 적극 활용해 개인정보의 과잉 수집과 유통을 막아야 한다.

법 제도, 시장, 기술적 조치가 효율적으로 병행 시행되어야 실효성 있는 정보 보호가 이루어질 수 있다. 개인정보의 시장 가치가 점차 커지고 있어 개인정보 유통을 완전히 막는 것이 불가능하다면 합법적인 데이터베이스(DB) 시장을 육성하는 것이 필요하다.

리니지 명의 도용 사건의 파장이 채 가시기도 전에 보도된 이번 공공기관 홈페이지 개인정보 노출 사건은 다시 한번 정보 보호의 중요성을 일깨워 주고 있다. 대책 마련과 실천을 더 늦춰서는 안 된다. 미래는 정해져 있는 것이 아니고 우리가 만들어 가는 것이다.

임종인 고려대 정보보호대학원장