미션80. 개인정보 유출 막고 소비자 보호하는 제도 정비하라
공익허브는 매주 월요일 ‘미션 100’을 연재합니다. 한국사회에 필요한 제도적 변화 100가지를 이야기합니다.
이름, 주민등록번호, 휴대전화 번호, 이메일 주소, 은행 계좌, 온라인 거래 내역. 한눈에 봐도 중요한 개인정보 목록입니다. 그런데 이런 사적이고 민감한 정보들이 나도 모르는 새 여기저기 퍼지고 있습니다. 내가 쓰는 모바일 앱에서, 공공기관의 전산 시스템에서 개인정보가 유출되고 있는 겁니다. 얼마 전에는 대학교 통합정보시스템이 해킹 공격을 받아서 졸업한 지 40년이 넘은 학생의 개인 금융정보까지 새어 나갔다고 합니다. 하루가 멀다 하고 벌어지는 개인정보 유출 문제, 이대로 두고 봐도 괜찮은 걸까요?
지난 8월 국내 3대 간편결제 서비스 회사인 카카오페이가 중국의 핀테크 기업 ‘알리’의 계열사 알리페이에 고객 개인정보를 넘겼다는 소식이 전해졌습니다. 카카오페이가 알리페이에 건넨 개인신용정보는 자그마치 547억 건에 이릅니다. 2018년 4월부터 지금까지 한 번이라도 카카오페이를 이용한 사람 모두 개인정보 유출의 대상이 됐다고 해요. 물론, 카카오페이는 알리페이에 정보를 넘기는 과정에서 고객의 동의를 받지도 않았습니다.
카카오페이는 해당 정보 이전이 고객 동의가 필요하지 않은 ‘정상적인 업무 위·수탁’이란 입장입니다. 경위는 이렇습니다. 카카오페이 고객 중 애플 앱스토어에서 결제를 하는 사람들을 위해 서비스를 제공해야 하는데, 그러려면 애플 측에 고객 관련 데이터를 전달해야 한다고 해요. 이 데이터는 개인정보 원본을 암호화하는 ‘재가공’ 방식으로 만들어지는데, 카카오페이는 이 업무를 알리페이 계열사에 맡겼습니다. 카카오페이는 알리페이와 업무 계약에 따라 필요한 ‘자료’를 주고받았다는 주장인 거죠.
하지만 정작 재가공한 정보는 애플 측에 전해지지 않은 것으로 알려졌습니다. 법조계에선 카카오페이가 보편적인 업무 위·수탁의 범위를 넘어섰다는 견해도 나오고 있어요. 익명의 법조계 전문가는 이렇게 말했습니다.
업무 위·수탁은 전자상거래 업체가 택배사에 고객 주소를 제공하는 것처럼, 원래 본업과 관련해 개인 정보를 위탁해 쓸 수밖에 없을 때 하는 것이다. 이 경우 정보 주체가 동의한 개인 정보 사용 범위를 넘으면 안 되고, 위탁 내용도 공개해야 한다. 그런데 카카오페이 사례가 여기에 해당하는지는 의문이다.
어디 카카오페이 뿐인가요? 9월 초 이화여자대학교에선 통합정보시스템이 해킹 공격을 받는 사고가 일어났습니다. 이로 인해 1982학년도부터 2002학년도에 입학했던 졸업생 8만명의 개인정보가 유출됐어요. 여기에는 학번, 학과, 입학일, 졸업일 등 학사정보 뿐만 아니라 금융정보 일부가 포함돼 있습니다.
이번에는 통계를 한 번 볼게요. 개인정보보호위원회(이하 개인정보위)의 자료에 따르면, 2022년부터 2024년 7월까지 최근 3년간 우리나라 공공기관·지방자치단체에서 약 500만 명분에 달하는 개인정보가 유출된 것으로 나타났습니다. 건수로 따지면 총 70건의 개인정보 유출 사고가 있었는데, ‘업무 과실’에 의한 유출이 41건으로 가장 많았어요. 다음으로 ‘해킹(17건)’ ‘프로그램 오류(11건)’ 순이었고요. 믿었던 학교와 공공기관마저 허술한 보안 시스템과 정보 관리 탓에 개인정보 유출 사고를 피하지 못한 겁니다.
보시다시피 잊을 만하면 여기저기서 개인정보 유출 사고가 터지는데, 정작 피해를 입은 소비자를 구제할 만한 제도는 존재하지 않습니다. 기업이 책임감을 가지고 스스로 나서지 않는 이상, 소비자가 피해 보상을 받기도 어렵고요. 설사 소송을 제기한다고 해도 쉽지 않은 싸움입니다. 소비자가 개인정보 유출로 실질적인 피해를 입었다는 사실을 직접 입증해야 하기 때문이에요. 지난 5월 유통기업 홈플러스 고객들이 회사를 상대로 낸 손해배상 청구 소송에서도 대법원은 “개인정보보호법을 위반했다는 사실을 정보주체(고객)가 주장·증명해야 한다”고 판시했습니다.
법원의 판결도 기업 쪽에 기울어져 있습니다. 서버 해킹으로 2012년 873만명, 2013~2014년 1200만명의 개인정보가 유출됐던 KT의 사례만 봐도 집단 소송을 제기한 시민단체가 결국 패소했어요. 당시 소송을 진행했던 경제정의실천시민연합(경실련) 관계자는 “법적 기준이나 약관이 기업에 유리하며, 법원은 그것을 보수적으로 해석한다”고 지적했죠. 기업은 책임을 회피하고, 법원도 기업의 손을 들어주는 상황에서 소비자가 무엇을 할 수 있을까요?
사건·사고 이야기를 하다 보면 결국 “처벌을 강화해야 한다”는 논의로 향하게 됩니다. 개인정보 유출 사안을 두고 보면 민간 기업과 공공기관의 사정이 조금 다릅니다. 2023년 개인정보보호법 개정으로 개인정보를 유출한 민간 기업에 부과하는 과징금 규모는 수십~수백억 원대로 확대되는 추세입니다. 반면 공공기관은 민간 기업처럼 매출액을 산정하기 힘든 탓에 과징금이 미미한 수준입니다. 개인정보 유출 시 공공기관당 평균 과징금은 2342만원으로 민간 기업(17억6321만원)의 1.3%에 불과합니다. 공공기관의 개인정보 유출 사고가 늘어나고 있는 만큼 보완책이 필요한 건 분명해 보여요.
제재 수위를 높이는 것만큼 필요한 일은 개인정보의 경제적 가치와 보호의 중요성을 인식하고, 그에 맞춰 제도를 정비하는 일입니다. 우리가 참조할 만한 사례로 미국이 있어요. 최근 미국 의회는 개인정보 유출 사고가 빈번한 빅테크를 겨냥해 ‘포괄적인 개인정보보호권리법(APRA)’을 제정하기로 합의했습니다. 이 법의 핵심 내용을 간단히 정리해봤어요.
① 기업이 온라인에서 소비자로부터 수집할 수 있는 정보의 ‘양’을 결정하는 표준 규정
② 사용자 동의 없이 수집한 개인정보로 영리 목적의 사용자 행동 추적, 예측, 조작 등 금지
③ 개인정보가 해외 적대국으로 전송된 경우 정보주체(고객)에게 전송 시점 통지
④ 기업의 데이터 보안을 위한 표준 마련 의무화
⑤ 기업 경영진이 고객 개인정보 보호에 필요한 모든 조치를 취하도록 책임 부과
미국의 APRA는 국가적 차원에서 개인정보 보호의 표준을 설정해 현장의 혼란을 방지하고, 기업이 꼭 필요한 ‘최소한의’ 데이터만 수집해 사용하도록 한다는 것에 방점이 있습니다. 개인정보 유출 경로가 다변화하고 있는 지금, 우리나라도 처벌 강도를 높이는 단순한 해법에만 머물러서는 안 됩니다. 기업별로 천차만별인 개인정보 이용 및 보호 기준에 관한 사회적 합의가 우리에게도 필요합니다. 그래야만 기업의 책임도 명확히 할 수 있고, 법도 소비자의 편에 설 수 있을 것입니다.
미션100 레터 구독하기
참고문헌
한국일보. 24-09-11. [[단독] 관공서에서 유출된 개인정보 ‘500만 명분’... 해킹에 뚫리고, 불법 조회로 흘려].
전자신문. 24-09-09. [[송민택 교수의 핀테크 4.0] 카카오페이의 개인정보 제공과 딜레마].
디지털데일리. 24-09-06. [은행·계좌번호도 털렸다… 졸업생 8만명 개인정보 털린 이화여대].
서울경제. 24-09-04. [[단독] 4000만명 쓴 카카오페이, 中알리에 고객정보 넘겼다].
뉴스토마토. 24-08-30. [(구멍 뚫린 개인정보 보호) ②공공부문마저 개인정보 유출… 정보보호 전담 부서까지 ‘싹둑’].
이코리아. 24-08-14. [카카오페이, 中 알리페이에 고객 개인정보 유출 논란... 제재 수위는?].
중앙일보. 24-08-13. [카리브해 초대형 허리케인 발생… 때 이른 불청객에 북·중미 ‘초긴장’].
무등일보. 24-06-18. [올해만 공공기관 50곳 개인정보 유출 ‘역대 최다’].
머니투데이. 24-05-15. [워크넷 840만원·골프존 75억... 공공·민간 개인정보 유출 처벌 형평성 논란].
연합뉴스TV. 24-05-17. [대법 “기업 개인 정보 유출 보상 받으려면 피해자가 증명해야”].
위클리서울. 23-02-27. [끊이지 않은 기업의 ‘개인정보 유출’].
개인정보위원회. 2024. [미국 여·야, 빅테크 규제 위해 연방 개인정보보호 법안 합의].