한겨레

최근 5년간 금융사와 기업, 공공기관에서 유출된 개인정보가 2억건에 달하는 것으로 나타났다. 전체 인구 5천만명의 4배에 이르는 수치다. 중복되는 경우와 일부 암호화된 정보 등을 감안하더라도, 경제활동인구 대부분의 ‘개인정보’가 사실상 보호받지 못하고 있는 것이다.

국회 미래창조과학방송통신위원회 소속 새누리당 이상일 의원이 안전행정부·방송통신위원회·금융감독원에서 제출받아 22일 공개한 ‘개인정보 유출신고 및 제재 현황’ 자료를 보면, 이번 케이비(KB)·엔에이치(NH)·롯데 등 3개 신용카드사의 1억400만건을 포함해 최근 5년간 대규모 개인정보 유출사고가 발생한 금융사와 기업, 공공기관은 모두 58곳이며, 유출된 개인정보는 1억3752만건에 달하는 것으로 나타났다.

옥션 해킹 1081만건(2008년2월), 에스케이브로드밴드 600만건(2008년4월), 지에스 칼텍스 1125만건(2008년9월), 에스케이컴즈 3500만건(2011년7월) 등, 개인정보업무 이관 등을 이유로 이번 제출자료에서 빠진 것까지 합하면 5년간 유출된 개인정보는 확인된 것만 2억건에 이른다.

이 의원의 자료를 보면, 시민들의 일상생활과 밀접한 업무를 대행하면서 내밀한 개인정보를 보유한 금융회사와 이동통신사 등 52개 업체에서 유출된 개인정보가 1억3313만건으로 가장 많았다. 민간기업보다 개인정보 관리에 철저해야 할 관공서·공기업 6곳에서도 439만건이 유출됐다. 이 의원은 “개인정보보호법이 발효된 2011년 9월 이전에는 정부가 개인정보 유출에 관한 통계를 체계적으로 관리하지 않은만큼 신고되지 않은 유출건수는 더 많을 것”이라고 했다.

감독기관의 솜방망이 처벌 관행도 확인됐다. 안행부 등은 유출사고가 발생한 14곳에 대해 고작 9439만원의 과태료를 부과했을 뿐이다. 나머지 업체·기관들은 아무런 징계도 받지 않거나(31곳) 가벼운 시정조치(14곳)에 그친 것으로 나타났다. 특히 방송통신위원회에 접수된 개인정보 유출(2012년8월~2013년12월) 22건 가운데 15건은 검색사이트 ‘구글’을 통한 단어 검색(구글링)만으로도 개인정보가 그대로 노출될 정도로 허술하게 관리됐지만, 방통위는 이중 10건의 유출사고에 대해 아무런 행정처분도 하지 않았다.

국회 정무위원회 소속 조원진 새누리당 의원은 금융감독원으로부터 받은 자료를 통해 “금감원이 금융기관들의 개인정보 유출시점으로부터 길게는 2년, 평균적으로는 1년 가까이 개인정보 유출 사실을 인지하지 못하다가 외부 수사기관의 통보 등에 의해 검사에 착수하는 것으로 드러났다”고 지적했다. 자료를 보면, 2009년 9월 고객정보 9만건을 해킹당한 한 캐피탈 업체에 대한 금감원 검사는 유출시점에서 26개월이 지난 2011년 11월에야 이뤄졌다.

한편, 안행부·방통위·금감원은 의원들에게 관련 자료를 제출하면서 개인정보를 유출한 기업체와 기관의 이름은 밝히지 않았다. 이들 기관은 업체명 등을 공개하려면 ‘개인정보보호법’(제66조)에 따라 개인정보보호위원회의 심의·의결을 거쳐야 한다는 이유를 댔다.

김남일 기자 namfic@hani.co.kr