올 초 카드 3사에서 1억건 이상의 개인정보가 유출된 것으로 확인됐고, 그 여파가 가시기도 전에 KT에서 1200만건의 개인정보가 다시 유출된 것으로 확인됐다. 카드 3사에서 유출된 개인정보가 모두 회수돼 2차 유출은 없다던 정부의 장담을 반박이나 하듯 8000만건의 개인정보가 대출중개업자에게 팔려나간 사실이 알려지면서 국민의 불안은 극에 달하고 있다.

이번 개인정보 유출은 기업이 보안의 기본 원칙을 철저히 지키지 못함에 근본 원인이 있다. 더욱 우려되는 점은 해당 회사가 유출 사실을 확인한 것이 아니라, 해당 정보가 불법 유통되는 과정에서 수사 당국에 의해 인지돼 알려졌다는 점이다. 2년 전 유사한 해킹으로 870만건의 개인정보가 유출된 뒤 세계 최고 보안 인프라를 갖춰 국민이 안심할 수 있는 서비스를 제공하겠다는 KT의 약속도 말뿐이 되고 말았다.

정보통신강국인 대한민국이 ‘개인정보 공개 공화국’이라는 불명예로 휘청거리고 있다. 공개된 국민의 개인정보를 어떻게 보호해야 할지 막막할 지경이나, 문제 해결의 실마리는 모든 당사자들이 보안의 기본으로 돌아가는 평범한 사실에서 찾아야 한다.

외주 인력에 대한 보안 관리가 철저히 강화돼야 한다. 외주 인력의 내부 개인정보에 대한 접근은 적절히 제한돼야 한다. 해킹 사고로 정보 유출은 100% 막을 수는 없지만, 상시 모니터링으로 유출 사실을 조기 탐지해 피해 확산을 최소화해야 한다.

시스템 설계에서 운영까지 모든 과정에서 보안이 최우선적으로 반영돼야 한다. 시스템 설치와 운영 과정에서도 유출로 이어질 가능성이 있는 취약점을 부단히 찾고, 상시 모니터링으로 대규모 정보 유출을 미리 차단해야 한다.

정보 유출로 인한 피해는 최소화돼야 한다. 유출된 개인정보를 이용해 비정상적 카드 결제가 이뤄질 수 있으므로 정부의 대책 마련과 국민의 주의가 요구된다. 의심스러운 인터넷 주소는 절대 클릭하지 말고 전화로 요구하는 어떤 개인정보 제공 요구도 응하지 않아야 한다. 유출된 개인정보의 불법 유통과 활용에 대한 모니터링도 여러 기관이 협력해 강화돼야 한다.

금융소비자가 자기정보결정권을 확보하고, 불법 활용에는 징벌적 과징금을 매출액의 3%로 확대하며, 정보유출 기업에 최대 50억원의 과징금을 부과하며, 주민번호 노출을 최소화하고, 최고경영자(CEO)의 보안책임을 강화하는 내용으로 지난 10일 발표된 정책은 국회와 협조해 시급히 시행돼야 한다. 이번 대책은 문제 해결의 시작점이며 이번 대책이 담지 못한 추가 대책도 고려해야 한다.

글로벌 프라이버시 3대 원칙은 기업이 어떻게 개인정보를 처리하고 있는지 상세히 알려 주고, 소비자의 동의 및 통제하에 개인정보가 처리되며, 다른 사이트 간 개인정보가 연계되지 않도록 하는 것이다. 금융정보 보안대책은 주로 자기정보결정권과 처리 투명성 요구에 집중돼 마련됐으나 개인정보 연계 방지 요구는 고려되지 못한 측면이 있다. 사이트 간 개인정보 연계를 가능케 하는 만능열쇠인 주민번호가 여전히 수집처리되기 때문이다. 사이트 간 개인정보 연계를 막을 수 있는 영역별 대체 식별정보 체계를 도입해야 한다. 민간 분야 영역별 식별정보 체계는 조세 기반, 실명제 그리고 신용도 조회를 확보하도록 해야 하며 기존 식별 인프라를 활용하도록 구성돼야 한다.

국가 보안의 기본 방향성 변경도 고려돼야 한다. 모든 기업에 일관적으로 최소 수준의 보호조치만 요구할 것이 아니라, 정부가 상위 수준 가이드 라인만 제시하고 일정 규모 이상 기업이 스스로 하위 세부 보안 수준을 마련해 그에 따른 피해는 기업 스스로 책임지도록 하는 방침도 고려해야 한다. 시민단체가 주장하는 징벌적 손해배상제도와 집단소송제의 도입도 장기적으로 고려할 시점이다. 무엇보다도 중요한 점은 기업들의 보안 의식을 높이고 실질적인 보안 투자를 유도하며 소비자의 신뢰를 높일 수 있는 지배구조를 포함한 법 제도 정비와 환경 조성이다.