한겨레

주인인 난 동의한 적 없는데
기업 마케팅에 활용·금융사기 노출
내가 쓴 ‘익명글’마저 공개돼
양심의 자유 침해받기도

20년 전에도 개인정보는 샜다. 1994년 한 정보대행업체가 전·현직 공무원과 기업 직원 등으로부터 일반 시민들의 신상정보 290만건을 넘겨받았다가 적발됐다. 국세청 소득과세자료와 비씨(BC)카드 가입자 신상명세, 국민연금 가입자료 등이었다. 이 업체는 전국의 자가용 승용차 소지자 110만명과 유권자 1600만명의 개인정보도 갖고 있었다. 사회적 충격이 대단했으나 입수 경로는 끝내 다 밝혀지지 못했다.

수요는 명확했다. 백화점·카드회사·자동차회사·은행 등이 불법 개인정보를 판촉자료로 활용했다. 집 앞에 쌓인 광고 우편물 대부분이 불법 유출된 개인정보로 우송되고 있다는 사실이 드러났다. 정치인들이 해당 업체의 보유 정보를 선거활동에 쓴 일이 밝혀지기도 했다. 정보의 주인도 모르게 개인정보가 특정 목적에 이용된 것이다.

같은 일은 규모가 커지며 반복됐다. 2008년 인터넷쇼핑몰 옥션에서 1800만명, 2011년 포털사이트 네이트에서 3500만명, 게임회사 넥슨에서 1320만명의 정보가 유출된 데 이어 올해 금융권에서는 역대 최대인 1억건 이상의 개인정보가 새나갔다. 금융당국과 수사기관은 ‘2차 피해’가 없을 것이라고 강조하지만, 이미 오래전부터 스팸메일·문자·전화의 홍수 속에 살아온 시민들은 불안하다.

시민단체·전문가들은 재산 피해에 앞서 ‘정보인권’ 침해가 가장 큰 피해라고 입을 모은다. 유출된 개인정보로 카드결제가 이뤄지거나 예금이 빠져나가는 것도 문제지만, 누군가 이 개인정보를 이용해 내 카드사용 목록이나 금융거래 내역을 훔쳐보는 게 더 끔찍한 일이라는 것이다. 이처럼 자신의 의사와 무관하게 신용카드 이용 목록이 특정 유통업체의 마케팅에 활용되고, 익명으로 인터넷에 쓴 글이 공개돼 양심의 자유를 침해받고, 재산 규모가 금융기관에 공개돼 금융상품 판촉 대상이 되는 것 등은 모두 정보인권 침해다. 자신에 대한 정보가 수집·이용 및 제3자에게 제공되는 과정에 의미있게 참여할 권리를 말하는 정보인권은 정보통신 기술이 발달하고 정부·기업이 개인정보를 손쉽게 축적·이용할 수 있게 되면서 중요성이 커지고 있다.

‘SNS정보’ 무차별 수집 허용…‘정보인권 침해’ 부추기는 정부

정보 ‘상품화’ 되는 한 사고나는데
정부, 정보관리 민간에 맡기고
보호커녕 기업에 빗장 풀어

내정보 발가벗긴 악법 ‘인터넷실명제’
네이트 3500만명 털리고서야 “위헌”
개인정보보호법은 제역할 못해

그런데도 개인정보 유출 사고가 끊이지 않는 배경에는, 애초 개인정보 수집·이용을 쉽게 만든 정부 정책과 이로 인한 심각한 정보인권 침해에 무감각한 사회분위기가 자리잡고 있다는 지적이다. 한상희 건국대 법학전문대학원 교수는 “개인정보가 상품화되고 이윤추구의 수단이 되는 한 유출 사고 발생은 충분히 예견 가능하다. 우리나라는 개인정보관리 시스템이 전적으로 기업에 맡겨져 있어서 개인정보를 불법으로라도 사고팔거나 공유하는 행태가 멈추지 않고 있다”고 말했다. ‘함께하는 시민행동’의 김영홍 정보인권국장은 “소는 진작에 잃었다. 그런데도 우리 정부는 외양간조차 제대로 고친 적이 한 번도 없다”고 비판했다.

정부는 정보인권 강화보다 국민 감시·통제를 우선시해 왔다. 혜택은 주로 기업들이 누렸다. 2007년부터 시행된 ‘인터넷 실명제’(제한적 본인확인제)는 민간에 개인정보 수집의 빌미를 제공해 유출 위험성을 높인 대표적 정책으로 꼽힌다. 2012년 헌법재판소가 “인터넷 실명제는 표현의 자유, 개인정보 자기결정권 등 기본권을 침해한다”는 이유로 위헌 결정을 내릴 때까지, 하루 평균 이용자 수 10만명 이상인 정보통신 서비스 제공자들은 실명제를 의무적으로 실시했다. 온갖 누리집에서 시민들의 주민번호 등 개인정보를 무차별적으로 수집·이용할 수 있었던 것이다. 2011년 국회입법조사처는 인터넷 실명제를 네이트 3500만명 개인정보 유출 사고의 주요 원인 중 하나로 지목하기도 했다.

‘진보네트워크센터’ 장여경 정책활동가는 “인터넷 실명제가 수면 위로 떠오른 2004년 ‘개인정보의 마구잡이 수집, 누가 책임질 것인가’란 성명서를 냈다. 당시 이미 금융감독원이나 경찰 통계를 보면 개인정보·프라이버시 침해가 심각한 수준이었는데도 정부·국회는 정보사회의 인권을 위험에 빠뜨리는 일은 안중에도 없었다”고 말했다.

인터넷 실명제는 공직선거법과 청소년보호법, 게임산업진흥법에 여전히 남아 있다. 불법 선거운동과 청소년의 게임 중독 및 유해매체물 접촉을 막는다는 명분에서다.

인터넷 실명제 위헌 결정 뒤 정부가 이용을 장려한 ‘아이핀’ 역시 주민번호 수집을 전제한다는 점에서 근본 대안은 아니다. 이번 금융권 개인정보 유출 사고가 시작된 신용정보업체 ‘코리아크레딧뷰로’(KCB)는 아이핀 발급을 위해 정부가 지정한 본인확인기관이다. 장여경 활동가는 “정부는 민간업체가 시민들의 정보를 어떻게 수집·이용하는지는 묻지도 따지지도 않고, ‘너희가 이미 정보를 수집했으니 그걸로 우리 일을 대신해 달라’며 책임을 떠넘기고 있다”고 말했다.

시민단체들이 줄기차게 요구한 ‘개인정보보호법’은 2011년 제정·시행에 들어갔지만, 곳곳에 다른 개별법 적용을 우선시하는 분야가 많아 무력하다는 비판을 받고 있다. 이번 금융권 개인정보 유출 사고의 경우에도 해당 업체들은 개인정보보호법이 아닌 신용정보법 등의 적용이 우선시되고 금융위원회의 규제를 받는다. 함께하는 시민행동의 김영홍 국장은 “업종별 규제기관의 권한이 크다 보니 개인정보보호법·개인정보보호위원회가 정보인권 보호의 사령탑 역할을 못 한다. 업종별 규제기관은 중앙부처와 업체 압력에 따라 ‘제 잇속 챙기기’에 바쁘니, 그 속에 개인정보 담당 부서나 직원이 있어도 눈치가 보여 제 역할을 하기 어렵다”고 말했다.

특히 박근혜 정부 들어서는 ‘창조경제’를 활성화한다는 명분 아래 정보인권을 더욱 후퇴시키는 정책을 쏟아낼 것이란 우려가 나온다. 지난해 미래창조과학부는 위치기반 광고에 대한 개인의 사전동의 의무 완화 검토 등을 위해 ‘인터넷 규제개선 평가단’을 구성했다. 한국인터넷기업협회가 후원하는 ‘프라이버시 정책 연구 포럼’에서는 ‘개인정보보호 법제 개선을 위한 정책제안서’를 발간했다. “민간 영역에서 개인정보를 이용한 사업을 활발히 펼치기 위해서는 규제가 완화될 필요가 있다”는 주장이 담겼다.

지난해 말 방송통신위원회는 이 보고서와 유사한 내용의 ‘빅데이터 개인정보보호 가이드라인(안)’을 발표했다. 블로그·소셜네트워크서비스(SNS) 등에 공개된 정보는 해당 시민의 동의 없이 수집·가공해 제3자에게 제공할 수 있다는 내용이었다. 장여경 활동가는 “시민들은 페이스북, 블로그 등의 해당 서비스를 이용하려는 목적으로 정보를 올리는 것이지, 기업이 이를 수집해서 거래하라고 자기 정보를 올리는 게 아니다. 현 정부의 정보인권 의식 수준을 적나라하게 보여준 사건”이라고 말했다.

정부가 유출 사고 대책으로 ‘징벌적 과징금’을 내놓은 데 대해서도 비판이 쏟아진다. “피해는 시민들이 봤는데, 왜 국가가 과징금을 챙기나.” 한상희 교수의 지적이다. “집단소송과 징벌적 손해배상제도야말로 현재로서 가장 경제적인 개인정보보호 수단이다. 징벌적 손해배상으로 기업 하나가 파산할 때 소요되는 경제·사회적 비용이 수천억원이더라도 이후 동일한 대규모 유출 사건이 발생하지 않음으로써 절약되는 경제·사회적 비용보다 비쌀 순 없다. 지난날 대규모 유출 사건이 터졌을 때 이런 제도라도 일찌감치 도입했다면 이번 같은 규모의 사건이 반복되지는 않았을 것이다.”

김효실 기자 trans@hani.co.kr