범죄와 범죄통제산업
크라스카는 중요하지만 자주 부정되는 질문을 던진다. 왜 '범죄 통제 산업'이 현 시점에서 떠오르는 것인가? 이 의도를 확인하기 위하여 단순한 형사사법제도 그 이상으로 ‘범죄통제산업’의 등장과 성장에 대한 전반적인 사회적 맥락을 연구한다.
범죄 통제 산업은 범죄의 존재와 이를 통제하려는 시도로부터 직간접적인 이익을 얻는다. 민간 보안 회사 (보안인력 뿐 아니라 풍부한 보안 하드웨어 제공), 감옥 산업 단지(다양한 투자 기회와 사업 이익 제공), 마약 탐지 회사, 그리고 총기제작 회사, 여기에 형사사법 학위를 제공하는 대학 그리고 범죄와 범죄자의 이야기로 번성하는 미디어(11시 뉴스부터~ 주요 영화에 이르기까지)를 포함하여 예로 들 수 있다.
2008년 옥션의 1,081만명 개인정보유출 사건은 역설적으로 정보보안 산업 진흥의 주역이다. 이어 2011년 NATE 3,500만, 2014년 국민카드 5,300만, NH농협카드 2,500만명 분이 외부 해킹당하고, 내부직원이 1억 건을 USB로 무단 반출한 사건들이 기사화되었다. 이에 정부는 2014년에만 개인정보보호법을 2번이나 긴급 개정하였다.
주민번호의 CI대체부터 계속 업그레이드 되는 보안 시스템 투자, 규제준수를 위한 법무 보안 인력고용, ISMS-P 인증제도(수수료만 평균 15억7천)등으로 국내 정보보안산업은 천문학적으로 성장하였다. (2019. 과학기술정보통신부, 한국정보보호산업협회 ‘2019 국내 정보보호산업 실태조사’결과 국내 정보보안·물리보안 산업 매출 규모, 10조5000억원*)
사법적으로 10만명 단위를 가뿐히 넘는 집단소송 시장도 열리게 되었으며, 심지어 정부와 기업간에 7년이상 걸리는 지루한 항소공방도 큰 돈이 된다.
* 해당기사 : https://byline.network/2020/02/5-58/
개인정보보호법은 내부 관리계획 수립, 감시장치 설치, 암호화, 접속기록 변조 방지 등을 열거하면서, 대통령령으로 ‘기술적, 관리적, 물리적’ 조치를 두도록 했다. 열거된 조치는 정확성, 완벽성, 최신성, 안정성을 보장하기 위한 ‘최소한의 기준’이라고 규정되어 있으나, 실질적으로는 개인정보보호 의무를 다한 것으로 해석될 소지가 다분하다.
Q1. 개인정보 수집 시 포괄적 동의를 금지하고 필수/선택 동의를 거치도록 규정됨. PC외 스마트폰, IOT 디바이스 상에서 회원가입 화면(UI)을 생각해보자.
Q2. 1년 이상 서비스를 이용하지 않은 계정은 ‘정통망법’상 휴면계정처리 규정됨. 여기서 ‘이용 중단’의 기준은 로그인 기록인가? '휴면'처리란 어떠한 상태를 말하는가?
우리나라는 숱한 기술적 해킹을 겪으면서 ‘개인정보처리(Process)’의 측면에서만 유책을 가려왔다. 유럽 GDPR법은 ‘개인정보 처리 목적과 방법을 결정하는 자’를 ‘Controller’로 보고 공동 책임을 부과한다. 우리 법제도 실질적 지시자에게 책임을 부과할 수 있도록 보완이 필요하다.