[카드사 정보유출 후폭풍] 여론몰이식 규제론 한계 … 개인·기업 책임 공유 사회협약 필요

■ 선진국 사례로 본 대응책
수장 사퇴로는 대출 모집인 불법행위 못 막아
개인은 경품 유혹 빠지지 말고 자기 정보 관리
'美-개인책임 강조, 유럽-국가 통제'서 교훈을


직장인 A씨는 한 대형마트에 몰린 사람들을 보고 깜짝 놀랐다. 자동차 경품을 걸고 오가는 고객의 응모를 받고 있었기 때문이다. 사람들은 자신의 이름과 전화번호·주민번호를 비롯해 몇 가지 질문에 주저 없이 응했다. 사람들은 대기업 계열사인 대형마트가 하는 고객 사은행사로 여기고 있었지만 실제로는 보험회사의 고객정보 수집행위였다.

정부와 국민은 정보유출의 진원지인 카드사를 집중 비판하지만 정보유출은 여러 통로에서 동시에 발생하는 특징이 있다. 널린 정보를 취합하면 값비싼 가치로 재탄생하는 빅데이터 산업의 특성 때문이다. 이번 카드사의 정보유출 역시 카드사에만 집중할 것이 아니라 상대적으로 개인정보 보호에 취약한 2금융권은 물론 다른 비금융업계까지 함께 들여다봐야 한다는 지적이 일고 있다. 정보기술(IT) 강국이면서 개인의 사생활 보호와 시장 자율이 뿌리 깊은 선진국도 정보유출에 대해서는 제각각 답이 다르다. 공통점은 기업의 책임과 함께 개인의 책임을 강조하고 사회 전반적인 논의를 통해 일종의 사회적 협약을 만들어가고 있다는 점이다.

◇공기업까지 정보 유출해도 무감각=정부의 현 대응처럼 금융지주사나 카드사 수장을 자르는 식의 대처로는 문제를 근본적으로 해결하기 어렵다고 전문가들은 말한다. 2금융권은 물론 통신과 유통·교통 등 다양한 분야에서 일어난 정보유출까지 전체 시각에서 다뤄야 한다는 것이다. 여론을 의식해 금융회사의 수장을 사퇴시키는 것보다 재발 방지를 위해 잘못한 회사를 제대로 제재하는 제도가 필요하다는 얘기다.

이번 사건과 관련해 금융당국은 해당 카드사는 물론 그 전에 대출모집인에 의해 정보를 유출시킨 한국씨티은행과 한국스탠다드차타드은행 등 16개 금융회사에 대해 자체점검을 지시했다.

그러나 정작 정보관리가 소홀한 곳은 정부의 주목을 받지 못하고 있다. 금융계의 한 인사는 "계약직으로 금융회사를 돌아다니며 개인정보를 수집하는 대출모집인은 물론 카드사와 연계해 정보를 주고받는 캐피털·대부업체·보험회사의 정보유출이 심각하다"고 지적했다. 영업정지 이후 8,600건의 정보가 유출된 것으로 확인된 솔로몬저축은행과 더블유저축은행의 경우 실제 해당 저축은행에서 나온 정보는 12%에 불과했다. 나머지 88%는 대출모집인이 이전 금융회사를 통해서나 직접 수집한 개인정보였다. 사실상 금융당국의 통제가 불가능한 영역이다.

금융회사와 연계되거나 금융회사와 관계없이 정보를 공유하는 업계도 많다. 한국도로공사는 하이패스 단말기를 이용해 이용자의 위치정보를 무단 수집했다는 의혹에 따라 경찰이 내사에 나서기도 했다. 교통정보로 활용하기 위한 것이지만 경찰은 개인의 위치정보를 수집할 것이라는 설명을 하지 않았다는 점에서 위치정보보호법에 위반된다고 판단했다. 전문가들은 무엇보다 고객 자신이 개인정보 보호에 대한 개념이 명확해야 한다고 강조한다. 평소 개인정보에 대해 경각심이 높지만 작은 경제적 이득에도 정보를 유출하는 성향을 보인다. 회원가입 과정에서 개인정보 공개 동의에 별다른 의심 없이 서명하는 것이다. 개인정보 동의 절차를 까다롭게 하는 것은 고객 입장에서는 번거로운 절차에 그칠 뿐 아니라 기업 입장에서는 면죄부를 주는 셈이라는 비판도 나온다.

◇개인 책임 강조한 미국, 국가통제 강조한 유럽=선진국도 개인정보 보호에 대한 법제를 마련하고 있다. 다만 각 나라별로 체제는 다르다. 미국은 국가기관이나 독립된 위원회는 없지만 개인정보가 침해된 사람이 직접 법원에 소송을 제기해 구제 받는다. 이를 위해 집단적 소송이나 징벌적 손해배상제도가 발달했다. 개인정보 유출에 대한 보험도 등장했다. 정태명 성균관대 정보통신공학과 교수는 "미국의 기업은 평소 개인정보 보호에 투자를 많이 한다"면서 "소송에 걸리면 엄청난 배상을 해야 하기 때문"이라고 설명했다. 최근 미국에서는 페이스북의 무분별한 정보수집에 대해 민간인이 1만달러에 달하는 손해배상을 청구하기도 했다.

반면 유럽은 국가가 주도해 개인정보를 보호한다. 1969년 가장 먼저 이 문제를 주목한 스웨덴은 1973년 개인정보 보호 감독기구인 정보조사원을 통해 개인정보 유통을 규율하고 있다.

프랑스는 독립적인 행정위원회를 두고 있고 독일은 내무부 산하 기관이 분쟁조정을 맡고 있다. 유럽연합은 미국보다 엄격한 규율을 두고 있는데 미국 역시 유럽과의 교역에서 불리하지 않기 위해 이를 준용하고 있다. 임 교수는 "우리나라도 정보유출이 빈번하면 선진국으로부터 개인정보가 믿을 수 없는 나라가 돼 해외진출에 타격을 입을 수 있다"고 우려했다.

<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>