정보 과다 수집도 문제<br>"구체적 피해 없다" 고객들 집단소송 잇단 패소<br>기업들은 전담조직 운영 32% 그쳐 투자 소홀<br>주민번호 관리도 허술… 해커들 주요 먹잇감으로
올해 '3ㆍ4 디도스' 공격에 이어 농협 및 네이트ㆍ싸이월드 해킹사태까지 굵직한 보안 관련 이슈들이 잇따라 발생하고 있다. 이에 대해 전문가들은 개인정보에 대한 기업의 안일한 의식과 주민등록번호 같은 개인정보 과다 수집을 문제로 꼽고 있다.
◇법원의 솜방망이 처벌과 책임지지 않는 기업들=지난 2008년 GS칼텍스 고객 1,100만여명의 이름과 주민번호ㆍe메일 등의 신상정보를 내부자가 유출했다. 이용자들은 분통을 터뜨리고 GS칼텍스 측을 맹렬히 비난하며 2만8,000여명의 피해자는 집단소송에 나서기도 했다. 하지만 검찰은 GS칼텍스가 개인정보보호 의무가 있는 정보통신망법이 적용되지 않는다며 불기소 처분했고 집단소송 또한 1심과 2심에서 원고패소 판결을 받았다. 당시 재판부는 "개인정보가 유출됐다는 것만으로 정신적 손해가 발생했다고 볼 수 없다"며 "당시 유출된 정보는 금융정보 등 경제적 이익을 침해할 정보가 아닌 개인식별 정보일 뿐이고 유출 직후 바로 회수돼 구체적인 피해가 발생했다고 인정하기 어렵다"고 밝혔다.
이뿐만 아니다. 2009년 해킹으로 1,080만 고객들의 개인정보가 유출된 옥션 또한 1심에서 배상책임이 없다는 판결을 받았다. 이들의 개인정보 유출과 관련해 정부에서 부과한 과태료도 1,000만원 수준에 불과해 솜방망이 처벌이라는 비난이 꾸준히 제기됐지만 메아리 없는 외침일 뿐이다.
네이트ㆍ싸이월드 해킹사태 역시 SK컴즈가 법적 책임을 질 가능성은 대부분 낮게 보고 있다. 혹시 SK컴즈가 보호조치를 위반했다는 사실이 밝혀진다고 해도 정보통신망법에 따라 2년 이하 징역 및 1,000만원 이하 벌금이 부과될 뿐이다. 집단소송으로 이어진다고 하더라도 지금껏 법원의 판결에 비춰봤을 때 원고승소 확률은 매우 낮다는 것이 전문가들의 의견이다. 주형철 SK컴즈 대표는 "이번 사태와 관련해 경찰수사 결과에 따라 법적 책임을 지겠다"고 밝혔지만 말 그대로 법이 요구하는 테두리 내에서만 책임질 방침이다.
이에 대해 GS칼텍스 집단소송에 참여했던 이인철 변호사는 "법원은 개인에게 정보유출로 본인이 입은 정신적 피해를 입증하라고 하는데 이는 사실 매우 어려운 일"이라며 "법원이 보수적 판결을 내리는 것에서 벗어나 피해자들이 자신의 피해를 보다 쉽게 입증할 수 있도록 힘을 실어줘야 한다"고 강조했다. 그는 이에 덧붙여 "다만 개인정보를 무단 유출한 하나로텔레콤을 대상으로 최근 법원이 피해자들의 손을 들어준 것은 향후 개인정보 유출과 관련한 집단소송에서 매우 상징적인 의미가 있다"며 "법원의 판결변화를 기대해본다"고 말했다.
◇기업들의 낮은 보안의식, 취약한 해킹 대비=이렇게 개인정보 보호에 대한 허술한 법률망 때문인지 우리나라 기업들의 정보보호 실태는 매우 낮다. 방송통신위원회와 한국인터넷진흥원 조사 결과 국내 6,500여개 기업 중 정보보호정책을 수립한 기업은 전체의 25.8%에 불과하며 개인정보보호 전담조직을 운영하는 기업은 32.7%에 그쳤다. 중견기업 중 정보보호 투자를 늘린 비율은 39.1%로 대부분 예산을 동결하거나 줄이는 형편이다. 이는 기업들의 경우 해킹사태가 발생하더라도 법적 책임이 가볍기 때문에 보안에 투자할 유인동기가 줄어들었기 때문이라는 분석이다.
임종인 고려대정보대학원장은 "유사한 해킹사태가 자꾸 발생하는 데는 기업들의 낮은 보안의식도 한몫을 하고 있다"며 "각 업체 대표들이 보안에 대해 책임을 지고 관련법규도 엄격히 한다면 당연히 업체들이 보안에 투자할 수밖에 없을 것"이라고 밝혔다.
◇무분별한 주민등록번호 노출ㆍ공유=무엇보다 최근 해킹이 잦은 이유로 우리나라 특유의 개인식별 번호인 '주민등록번호'를 꼽는 전문가도 많다. 주민번호는 우리나라에서 1968년부터 실시된 제도로 해커들이 주로 노리는 먹음직스러운 목표물이다. 김상겸 동국대 법대 교수는 "이번 해킹사태와 관련해 주민번호 자체의 필요성에 대해 생각해볼 시기가 왔다"고 밝히기도 했다.
이러한 주민번호는 비교적 쉽게 노출되고 또 공유된다. 일례로 PC방에서 이용료 할인혜택을 위해 회원가입을 할 경우 주민번호를 요구하는 경우가 대부분이다. 특히 회원의 주민번호는 PC방 아르바이트생도 볼 수 있을 정도로 허술하게 관리되지만 이용자들은 무심코 자신의 회원번호를 노출해 문제가 심각하다. 걸식아동 돕기와 같은 지지서명을 받을 때도 본인 이름과 전화번호ㆍ주민번호를 요구하는 경우가 많다. 결국 주민번호를 요구하는 사람이나 무심코 제공하는 사람들이 해킹 문제가 터질 때마다 사안을 더욱 키우는 셈이다.
대부분 인터넷 사이트들이 사용자의 주민번호를 무조건 보관하는 것도 문제다. 이에 대해 주요 포털 업체의 경우 2007년 시행된 '제한적 본인확인제' 때문에 주민번호와 같은 개인정보 수집은 어쩔 수 없다고 항변한다. 하지만 이들 포털 업체는 2007년 이전에도 마케팅과 경영전략 수립을 위해 주민번호 외에 집주소 및 휴대폰 번호 등을 과도하게 수집했으며 본인확인 이후에도 주민번호를 폐기하지 않고 꾸준히 보관하고 있다. 결국 이러한 포털 업체의 관행 때문에 국내 포털을 노리는 해커의 수는 늘어날 수밖에 없다. 국내 이용자의 개인정보는 중국 등 해외시장에서 30~50원 정도에 거래되며 이번 SK컴즈 해킹사태로 해커가 벌어들일 수익은 10억원 이상 되는 것으로 추정된다. 이외에도 국내에서 해킹이 잦은 이유로 90%에 달하는 높은 인터넷 이용률과 전국에 보급된 무선인터넷 망 등이 꼽힌다.
염흥열 한국정보보호학회장은 "구글이나 페이스북과 같은 해외 업체와 달리 국내 업체들은 회원가입시 요구하는 정보가 많기 때문에 우리나라 사람들의 개인정보는 상품가치가 높다"며 "이용자들도 자신의 개인정보에 훨씬 민감하게 반응해야 하며 각 사이트에 설정한 비밀번호도 단어로 된 패스워드가 아닌 문장으로 된 패스프레이즈로 바꿔야 한다"고 지적했다.
