- 주민번호대책, 크게 달라질게없어
- 금융지주회사, 동의없이 정보공유
- 신중한 검토뿐 근본적 대책 없어
- 집단소송과 징벌손배제 도입해야
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2014년 3월 10일 (월) 오후 6시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 오병일 (진보네트워크센터 활동가)
◇ 정관용> 금융사, 통신사 대규모 개인정보 유출사태 벌어졌죠. 오늘 정부가 관계부처 합동으로 개인정보보호 종합대책을 내놨습니다. 금융거래 할 때 최초 거래 시에 딱 한번만 주민번호를 입력하고, 암호화시켜서 보관한다. 그 보관기관도 단축한다, 등등 이런 내용들이 들어 있습니다. 하지만, 전문가 단체들은 아쉽다는 평을 내놓고 있네요. 진보네트워크센터의 오병일 활동가를 연결해 봅니다. 안녕하세요.
◆ 오병일> 네, 안녕하세요.
◇ 정관용> 오늘 정부 대책, 총평을 해 주신다면요?
◆ 오병일> 우선 이게 금융 분야의 종합대책이잖아요. 그래서 사실 금융 분야에서 대량 개인정보 유출 사고가 발생했지만, 사실 여기서만 발생하는 것이 아니기 때문에, 다른 영역까지 포함한 전반적인 대책이 아니라는 점에서는 좀 아쉽고요. 그 다음에 지금 금융 분야와 관련해서는 사실 나온 대책들이 대다수의 개인정보보호원칙에 준하는 내용들이거든요. 역으로 보면 그만큼 금융영역에서 일반적인 개인정보보호원칙에 어긋나는 그런 관행이 되게 보편적이었다라는 것의 반증인데요.
◇ 정관용> 그 동안 어긋나 왔었다.
◆ 오병일> 네, 그렇습니다. 그럼에도 불구하고 여전히 근본적인 문제에 대해서 미흡한 부분들이 있습니다. 예를 글어서 금융지주회사의 문제라든가 주민번호 문제라든가. 이런 부분들은 민감한 부분이기는 한데. 여전히 이런 부분에 있어서는 금융기관의 이익을 좀 고려한, 그러한 대책들이 아닌데 이렇게 보고 있습니다.
◇ 정관용> 하나하나 보죠. 좀 아까 주민번호 문제라고 하셨는데, 이번에 나온 대책은 주민번호는 최초 거래 시 한번만 기입한다. 예를 들어서 은행에 통장 하나 만들 때 주민번호 한번 가입하면 다음에 그 은행에서 적금통장 만들 때는 필요 없게 하겠다, 이런 거거든요. 이 점은 어떻게 생각하세요?
◆ 오병일> 저는 큰 의미가 없다고 봅니다. 어차피 금융기관은 주민 번호를 저장해서 보관을 하고 있는 거거든요. 그리고 실제 주민번호 유출이 일어나는 게 은행에서 주민 번호를 제시할 때 일어나는 게 아니잖아요. 그렇기 때문에 지금 현재와 크게 달라질 바는 없고요.
◇ 정관용> 이미 데이터베이스로 보관되어 있는 것은 그냥 언제든지 빠져나갈 수 있다, 이거예요?
◆ 오병일> 네, 그렇습니다.
◇ 정관용> 그러면 주민번호 자체를 입력하지 말아야 한다는 겁니까?
◆ 오병일> 그러니까 저희는 근본적으로 지금 주민번호에 대해서 2월 달에도 많은 문제제기가 있었잖아요. 그러면서 점차 사회적으로 주민번호라는 것을 사용을 제한을 해야 된다. 워낙 광범위하게 사용이 되고 있으니까. 특히 민간영역에서는 사용이 제한돼야 된다고 보는데. 지금 개인정보 유출 사고가 난 금융영역뿐만 아니라 통신영역도 사실은 민간영역이거든요. 그러니까 민간영역에서는 주민번호 사용을 제한하는 방향으로 이렇게 장기적인 대책이 세워져야 되는 거죠.
◇ 정관용> 그런데 지금 우리나라는 금융실명제를 하고 있지 않습니까?
◆ 오병일> 네.
◇ 정관용> 그렇다면 주민번호가 아니라 어떻게 실명확인을 할 수 있을까요, 금융거래를 할 때?
◆ 오병일> 사실주민번호를 보관하고 있다고 개인에게 확인이 되는 건 아니거든요. 어차피 주민번호가 지금처럼 유출이 된 상황에서는 얼마든지 도용이 가능하기 때문에 사실 본인확인이라는 부분과 주민번호를 보관한다는 것은 별개로 접근을 해야 될 것 같습니다. 즉 본인 확인은 은행에서 다양한 나의 신분증으로 본인 확인이 가능하잖아요.
◇ 정관용> 그러니까 주민등록증을 제시하고 사진하고 얼굴을 대조하고. 대신에 번호는 입력하지 말자?
◆ 오병일> 네, 그렇습니다.
◇ 정관용> 그렇군요. 그런데 그런 걸 왜 안 할까요, 이런 대책을?
◆ 오병일> 우리나라에서 지금까지 주민번호가 광범위하게 활용돼 온 것은 사실 시스템을 관리하는데 있어서 되게 편하기 때문에 그렇거든요. 일종의 개인정보를 통합하는 식별자 역할을 하고 있지 않습니까? 그렇기 때문에 어떻게 보면 그러한 관리의 용이성, 이런 것 때문에 활용이 되어 온 것인데. 그게 더 위험성 측면에서 더 커지는 거죠.
◇ 정관용> 이것도 다시 한 번 생각해 봐야겠다, 그 말씀이고. 또 하나 금융지주회사 문제라고 하신 게 그거 아니에요. 개인정보수집 이용에 동의하도록 하는 것. 그 중에 가장 문제됐던 게 같은 그룹 내 정보제공이잖아요. 같은 계열의 카드사, 은행, 증권, 보험회사들 어디 한 군데만 거래를 트면 다 내 개인정보를 서로 나눠 갖는 거 말이죠.
◆ 오병일> 네. 그렇습니다.
◇ 정관용> 이거 못하게 됐나요, 이번에?
◆ 오병일> 아닙니다.
◇ 정관용> 아니에요?
◆ 오병일> 제3자 제공이 두 가지로 구분이 되는데요. 하나는 제휴업체가 있을 거고요. 예를 들어서 신용카드를 만들 때 공원이라든가 음식점이라든가 서비스를 받지 않습니까? 이런 제 3자에게 제공하는 부분이 있고. 같은 계열사, 금융지주회사 내에서 공유되는 부분이 있는데. 외부 제3자에 제공될 때는 당연히 동의를 받도록 돼 있습니다. 그런데 이제 금융지주회사 내에서는 동의 없이 공유할 수 있도록 돼 있거든요. 이 부분에 대해서 이건 개인정보보호원칙에 어긋난다, 이렇게 지적을 해 왔는데. 지금 이번 대책에서도 여전히 금융지주회사 내에서는 공유를 할 수 있도록 그렇게 허용을 하고 있고요.
◇ 정관용> 왜 이걸 허용을 하죠? 그야말로 공공기관의...
◆ 오병일> 그건 금융지주회사를 활성화하겠다는 그런 취지인데요. 사실 그런 식으로 보면 우리 사회의 전체에서 산업활성화를 해야 될 부분들이 딱히 금융지주회사만 있는 게 아니고요. 모든 기업들이 다 그런 요구를 할 텐데. 유독 금융지주회사 내에서만 이런 예외가 허용이 되고 있습니다. 그래서 이번 대책에서도 절차를 강화하고 영업상 활용하는 목적은 제한을 하겠다, 이렇게만 지금 하고 있습니다.
◇ 정관용> 그 대신에 또 이용기간이 다 지나면 파기해라, 또 정보를 제공한 금융사는 이걸 다 끝까지 확인해야 된다. 이런 걸 다 제대로 지키지 않으면 금융사의 책임을 강하게 묻겠다. 이런 대책은 어떻게 보십니까?
◆ 오병일> 원론적으로 그러한 규정이 들어갈 필요는 있다고 보고요. 다만 그런 것들이 실제로 지켜질 수 있는지, 그리고 감독을 할 수 있는지 그런 실효성 부분에 있어서 문제가 될 수 있는데. 이런 보호를 한다는 것이 감독기관이 일일이 계속 체크를 할 수가 없지 않습니까? 지금 이번 개인정보 유출 사고 같은 경우도 사실 원책이 없어서 유출이 된 건 아니거든요. 그러니까 문제는 금융회사들이 그에 적합하게 보안을 위해서 투자를 유도할 수 있을 것인가, 그런 부분인데. 지금까지는 개인정보를 보유하는 이득에 비해서 그 개인정보를 보유하고 있을 때의 부담이 적었기 때문에 유출됐을 경우 처벌자체가 미약했기 때문에 계속 보유를 하고 있었던 거거든요. 그러니까 그런 어떤 보안에 대한 투자를 유도할 수 있는 인센티브를 어떻게 부여할 것인가, 그것이 문제가 된다고 봅니다.
◇ 정관용> 그럼 보안에 대한 투자를 유도하려면 어떻게 해야 합니까?
◆ 오병일> 유출됐을 경우 책임을 강화시켜야 되는 거죠.
◇ 정관용> 지금보다 훨씬 더?
◆ 오병일> 네, 그렇습니다.
◇ 정관용> 어떤 방식으로요?
◆ 오병일> 지금 정부 안 같은 경우는 과징금을 높이겠다, 이런 식으로 되어 있는데 사실 이 부분은 정부통제를 강화하는 방안은 되지만, 실제 그 수준이 과연 적절하냐라는 것들을 판단하기 힘들고요. 그러니까 한도를 높인다고 하더라도 수천억, 수조원의 이익을 보는 금융회사의 입장에서는 아무 것도 아닐 수도 있는 거거든요. 그다음에 일반 개인정보 유출된 소비자의 입장에서는 아무런 대상이 이루어지고 있지 않은 거죠. 그렇기 때문에 저희 시민단체에서 요구하는 것은 소비자집단소송제 같은 게 도입이 돼야 된다.
◇ 정관용> 집단소송.
◆ 오병일> 네. 지금은 물론 소송을 제기할 수는 있지만 너무 절차가 복잡하고 또 모든 개개인이 다 참여를 해야 되거든요.
◇ 정관용> 이기기도 어렵고 이겨봤자 10만원, 20만원밖에 못 받잖아요.
◆ 오병일> 그렇기 때문에 굳이 소송을 하려고 안 하는 거죠. 그런데 대표자 한 사람이 소송을 해서 이기면 그 영향이, 효과가 모든 사람에게 미치는 그런 방식이 되면, 일단 기업들의 부담이 커지지 않습니까?
◇ 정관용> 그러니까 집단소송하고 징벌적 손해배상이 같이 가야 되는 거죠?
◆ 오병일> 그거는 병행해서 갈 수도 있고, 따로 갈 수도 있는 문제라고 보는데요. 어쨌든 중요한 것은 소비자들에게 어떤 배상을 할 수 있고, 그다음에 기업들이 보안에 투자를 할 수 있는, 그런 부담을 느끼도록 어떤 인센티브를 부여할 필요가 있다는 것이죠.
◇ 정관용> 알겠습니다. 저희가 관련 전문가하고 인터뷰를 할 때마다 미국 같은 데는 정부가 이걸 일일이 세세한 가이드라인을 주지 않지만, 사고가 터지면 엄청난 징벌적 손해배상을 하기 때문에 금융회사들이 알아서 다 한다, 이런 얘기를 많이 들었는데.
◆ 오병일> 맞습니다. 오히려 정부가 가이드라인을 제시를 하는 것이 기업들에게는 면죄부가 될 수 있거든요. 우리는 이 가이드라인을 지켰다.
◇ 정관용> 지켰다?
◆ 오병일> KT 같은 경우도 정부로부터 보안에 관련된 인증을 받았다고 나오거든요. 그래서 오히려 기업 입장에서는 소송에서 우리는 이런 이런 정부 가이드라인을 잘 지켰는데 우리는 책임이 없다, 이런 면죄부가 될 수 있거든요.
◇ 정관용> 알겠습니다. 그런데 이번에 나온 대책에 보면 또 금융, 전산 보안 전담기구를 설치하겠다. 이게 정부 기구를 만든다는 거 아닙니까?
◆ 오병일> 네.
◇ 정관용> 여기에서 일일이 가이드라인을 더 만들 것 아니에요?
◆ 오병일> 그렇죠.
◇ 정관용> 그럼 그게 또 결국 면죄부가 될 수 있겠네요.
◆ 오병일> 네. 그러니까 정부가 사실은 기업들마다 상황이 다 다르고 보유하고 있는 개인정보의 가치도 다 다르거든요. 그렇기 때문에 일률적으로 어떻게 해야 된다, 이렇게 제시를 하는 것보다는 그에 맞게 기업이 책임을 지도록 하는 것이 방식이 적절한 것 같고요. 그다음에 보안과 관련된 어떤 감독 기구를 만드는 것보다는 그런 것도 만들 수도 있는데, 저희가 보기에는 더 중요한 것은 우리 사회의 전반을 포괄할 수 있는 개인정보 감독체계가 되게 미비합니다. 지금 각 부처별로 분산되어 있고. 또 하나의 문제는 지금 금융 같은 경우는 금융위원회나 금융감독원이 하고 있는데 대부분의 정부부처들은 한편으로는 감독도 하면서 또 한편으로는 산업진흥의 역할을 하고 있거든요. 그래서 어떻게 하면 상충하는 역할을 다 맡고 있다 보니까 개인정보 감독 역할이 소홀히 되는 거죠. 그렇기 때문에 현재 개인정보보호위원회가 있습니다마는, 자문 정도의 역할을 하고 있는데. 이 개인정보보호위원회가 독립성이라든지 그 권한이 강화돼야 된다고 생각합니다.
◇ 정관용> 알겠습니다. 요약해 보면 개인정보보호위원회의 강화, 그리고 집단소송제, 징벌적손해배상제 등등의 도입. 또 주민번호 같은 걸 아예 요구하지 않도록 하는 어떤 관행의 변화, 이런 것들인데요. 이 얘기 여러 번 나왔거든요. 왜 정부는 안 합니까, 이렇게?