메뉴 보기
정보유출 경로는 크게 두 가지다. 해커들이 개인정보를 은밀히, 그리고 치밀한 수법으로 모아 유출시키는 방법이 있다. 최근 발생한 KT의 해킹 사례가 이 경우다. 내부인력의 도덕적 해이나 실수에 의한 유출도 있다. 얼마 전 일어난 카드사 사태가 여기에 속한다. 어느 경우든 개인정보 자기결정권과는 무관하게 정보가 유출됐다.
자기결정권을 근거로 고객은 개인정보 수집을 어렵게 할 수 있다. 수집된 개인정보의 삭제를 요청하거나 다른 용도로 사용되지 않도록 요구할 수 있다. 그래서 수집된 개인정보가 악용 또는 오용되는 범위를 조절할 수 있다. 그것뿐이다. 최소한의 정보만 모아 목적에 맞게 쓰라는 것이다. 이것은 유출방지와 아무 관련이 없다.
 |
| 김형중 고려대 교수·사이버국방학 |
금융권은 고객의 성향이나 취향 등을 알아야 새로운 금융 서비스도 개발할 수 있다. 고객이 협조하지 않더라도 금융권은 빅 데이터 분석 등을 통해 고객정보의 빈칸을 채울 수 있다. 채워진 빈칸들로 고객에게 더 나은 서비스를 제공할 수 있다. 다만, 간접 경로로 확보한 개인정보는 부정확할 수 있으므로 더 엄격하게 관리해야 한다.
주민등록번호 암호화를 2016년 1월 1일부터 시행한다고 발표했다. 이미 거의 모든 주민등록번호가 유출된 상태에서 암호화한들 실익이 별로 없으며 오히려 계산시간이 훨씬 길어지고 정보처리 과정이 복잡해지는 단점이 있다. 이 대책도 정보가 유출되는 것을 직접 막는 대책이 아니기 때문에 사후약방문처럼 보인다. 암호화가 대세라는 데는 동의한다.
근원적으로 개인정보유출을 막기 위해 해킹 방지기술 개발, 내부인력 관리 대책 마련이 시급하다. 전자는 제로데이 취약점 확보에 따른 선제적 백신 개발과 보급, 화이트 해커에 의한 사전 점검 및 보완 등이 답이다. 특히 정부가 앞장서서 국방 시스템 등 핵심 인프라를 보호하기 위해 제로데이 취약점 정보를 확보해 백신 업체 등에 제공하는 것이 바람직하다. 내부인력에 대한 전문성 제고, 인성교육 강화와 감독도 중요하다.
헌법재판소는 2005년 개인정보 자기결정권을 ‘자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리’라고 규정했다.
개인정보보호법은 자기결정권을 보장하기 위해 만들어졌다. 이런 권리가 이제야 채택을 앞두고 있다니 그나마 다행이다. 이제 본인인증만 거치면 언제든지 개인정보의 이용현황을 조회할 수 있다. 기존에 동의했던 정보 제공을 철회할 수 있고, 거래가 끝난 이후 금융기관이 보유한 자신의 정보에 대해 파기나 보완을 요구할 수 있다.
이번 사태를 기회로 삼아 정부는 정보유출 재발을 방지하고 피해 확산을 저지하기 위해 선제적 기술개발, 피해 대응 매뉴얼 작성 및 시뮬레이션, 인력양성 교육프로그램 개발 등을 지원해야 한다. 기술개발은 국내 정보보호 산업 육성으로 이어지게 유도해야 한다. 대규모 서비스 거부 공격이 발생할 때마다 외국 벤더만 배 불리던 실수를 반복해서는 안 된다. 한국의 금융산업이 한 단계 도약하기 위해서도 금융산업이 온라인 서비스 산업의 일부가 됐음을 자각하고 정보보호에 더 관심을 가져야 한다.
김형중 고려대 교수·사이버국방학
기고·칼럼은 본지 편집방향과 다를 수도 있습니다.
