지난 1월 말 발생한 '카드3사 정보유출' 사건으로 개인정보 유출에 대한 관심이 높아진 가운데 경실련과 진보네트워크센터, 참여연대, 함께하는시민행동 등 시민사회단체들이 주민번호체제 개편, 금융지주회사 내 정보공유 금지, 소비자 집단 소송제도 마련, 공인인증서 의무화 폐지, 개인정보보호위원회의 독립성과 권한 강화 등을 요구하고 나섰다. 이와 관련된 3편의 기사를 보내와 싣는다. [편집자말]

1991년 3월 주민등록, 부동산, 자동차, 고용, 경제통계, 통관 등에 대한 국가 전국 통신망이 완성되었습니다. 1994년에는 월드와이드웹(www) 상업 서비스가 시작되었으며 1999년에는 인터넷뱅킹 서비스가 상용화 되었죠. 정보유출과 관련해 이야기를 하기 전에, 21세기 이전에 수기로 작성해 보관했던 개인정보의 디지털화가 많이 진척됐음을 환기해 두고 싶습니다.

우리나라에서는 1994년 1월 '공공기관에서의 개인정보보호에 관한 법률'이 제정되지만 1년의 유예 기간을 거쳐 1995년 1월 시행됩니다. '개인정보보호'에 관한 최초의 법 탄생이었지만 적용 대상은 공공기관뿐이었습니다.

그런데 공교롭게도 그해 6월 국세청의 소득세 과세자료 110만 건, 서울시의 종합토지세 고지내역 110만 건, 국민연금관리공단의 연금가입자 자료 22만 건, BC카드 가입자 신상명세 50만 건 등 292만 건의 개인정보가 유출·유통된 사건이 발생해, 관련자 14명이 구속되는 초유의 일이 발생합니다.

검찰은 '전산망 보급확장과 이용촉진에 관한 법률'(정보통신이용 촉진 및 정보보호에 관한 법률 전신) 제25조(비밀의 보호) 위반 등으로 그들을 기소하게 됩니다. 주민등록번호를 포함한 민감한 개인정보의 대규모 유출이 일상화 될 것이라는 '불길한 암시'를 준 사건입니다.

당시 검거된 덕성기획이라는 광고우편물 발송 DM(Direct Mail)업체가 "행정공무원 8700명, 입법기관 인사 1만5000명, 법조인 2400명, 언론인 7000명, 교육계 14만7000명, 의료계 1만8000명, 여성 종교계 93만명, 자가용소지자 110만 명, 전국 유권자 1600만 명에 관한 개인정보"를 보유하고 있었다는 게 당시 언론들의 보도입니다.

1995년 제정된 '신용정보' 법률 배경에 지존파 사건이...

큰사진보기
▲ '국민카드' 해지하는 시민들 대규모 개인정보유출 사태로 인해 2차 피해 우려가 커지고 있는 21일 오전 서울 중구 국민은행 소공동지점은 카드를 해지하려는 고객들로 가득하다.
ⓒ 양태훈	관련사진보기

우리는 여기서 DM(Direct Mail)업체에 주목할 필요가 있습니다. 다이렉트 마케팅 혹은 맞춤형 광고의 역사는 오랜 기원을 갖고 있습니다. 개인정보의 무분별한 수집, 가공, 활용, 판매, 유출 사건의 배경과 근원에는 '광고'가 있습니다. 구글, 페이스북, 네이버, 다음 등 수많은 닷컴 기업은 '광고'에서 수익을 얻습니다. '광고'는 디지털 생태계의 근간을 이루는데, 광고효과를 높이기 위한 욕망으로 인해 사건과 사고가 끊임없이 되풀이되고 있습니다.

정당한 비용을 지출하면서 개인정보를 수집하는 것보다는 개인정보를 불법적으로 취득하는 것이 저렴하기 때문이겠죠. 그리고 사기 범죄의 확률을 높이기 위해 더 많은 개인정보를 약탈하는 것입니다.

그런데 1994년 9월 지존파 사건이 한국사회를 강타합니다. 특히 백화점 VIP 고객 명단을 입수하여 범행 대상을 찾고 실행에 옮겼다는 것에 사람들은 충격에 빠집니다. 부유층을 상대로 한 이 범죄의 여파로 인하여 1995년 1월 앞서 언급했던 '신용정보의 이용 및 보호에 관한 법률'이 신속하게 제정됩니다. 법 적용 대상은 '신용정보 집중기관'이었습니다. 신용정보 유출자는 처벌이 가능하지만 유통자들은 처벌할 수 없었던 현실을 개선하기 위한 조치였습니다.

'개인정보' 유출의 결과는 '목숨을 잃는 것'부터 '아무 일도 안 일어날 수 있'는 극단의 스펙트럼을 갖고 있습니다. 그래서 안일했던 것일까요? 민간영역에선 1999년 2월 '정보통신망이용촉진등에관한법률'이 개정(개인정보보호 조항은 3항에 불과했었다) 될 때까지 개인정보수집, 이용 등에 대한 규제 없이 방치됩니다. 2000년에는 인터넷 사이트 46곳에서 630만 명의 개인정보가 해킹되는 사건도 발생하죠.

2001년 1월 '정보통신망이용촉진및정보보호등에관한법률'이 전부 개정되면서 현재 골격을 마련하지만 당시 수많은 닷컴 기업들은 주민등록번호뿐만 아니라 취미, 결혼 유무, 학교, 각종 관심사 등의 개인정보를 설문조사 하듯이 수집했습니다.

당시, 시민단체들은 공공기관과 민간영역을 통합하는 개인정보보호법의 제정과 '개인정보보호' 업무를 객관적이고 전문적으로 수행할 수 있는 독립기관의 설치를 주장했습니다. 국제적 규범의 도입이 시급하다는 현실 인식 때문이었죠. UN은 이미 1990년 개인정보 전산화 가이드라인, 감독과 제재(Supervision and Sanctions) 조항에서 회원국에 '독립적인 개인정보 감독기구'를 둘 것을 권고합니다. EU도 1995년 개인정보보호 지침, 총칙 제6장 감독기관과 개인정보보호작업반 조항에서 '독립적인 개인정보 감독기구'가 EU 소속 국가들의 원칙임을 표방했습니다.

시민단체들은 정부와 국회의 반응이 없자 2004년 독자적인 개인정보보호기본법 제정안을 당시 노회찬 의원을 통해 국회에 발의합니다. 이것이 시초가 되어 여당과 야당 또한 독립적인 개인정보보호위원회의 설립을 핵심으로 하는 개인정보보호법 제정안들을 내놓기 시작합니다. 그러나 당시 정부와 국회는 이 논의를 더 이상 진전시키지 못하고 엉뚱한 일을 자행하고 맙니다.

껍데기 위원회가 된 '개인정보보호위원회'

큰사진보기
▲ 롯데카드 "사과 드립니다" 대규모 개인정보유출 사태로 인해 2차 피해 우려가 커지고 있는 21일 오전 서울 중구 소공동 롯데카드센터 앞을 한 시민이 지나가고 있다.
ⓒ 양태훈	관련사진보기

바로 인터넷 실명제가 그것입니다. 2007년부터 '악성 댓글을 방지한다'는 명분으로 방문자 수가 10만 명 이상 되는 사이트(개인 운영 포함)는 강제적으로 인터넷 실명제를 실시해야 했습니다. 당시 주민등록번호를 수집하지 않았던 사이트들도 2012년 8월 23일 위헌 판결을 받을 때까지 주민등록번호를 수집해야만 했습니다.

2003년 2월, 당시 야당이었던 한나라당(새누리당)은 인터넷 실명제 법안 도입을 주장하면서 3월 11일에는 당 홈페이지 회원가입을 실명제로 전환하고 인터넷 실명제를 당론으로 정한 뒤 논의를 주도했습니다. 당시 정보통신부 진대제 장관은 인터넷실명제를 업무추진 과제로 채택했고, 참여정부 또한 솔깃해 합니다. 결국은 시민단체, 언론단체들의 반대에도 불구하고 2007년에 인터넷실명제가 도입되는데, 이 법안에 반대한 국회의원은 강기갑, 노회찬, 권영길, 단병호, 이영순, 천영세, 최순영, 현애자 의원 등 8명에 불과했습니다.

하지만 ▲2008년 옥션에서의 1000만 명 개인정보 유출사건 ▲2009년 GS칼텍스 고객 1150만 명 개인정보 유출사건 ▲2010년 신세계 330만 명 고객 개인정보 유출 사건 등이 일어나자 '개인정보보호법 제정'이 탄력을 받게 됩니다. 2011년 개인정보보호법이 제정되고 '개인정보보호위원회'가 발족이 되지만, 시민단체들이 원했던 모습은 아니었습니다.

'개인정보보호위원회'의 독립성은 개인정보보호법에 명시돼 있었지만, 권한은 거의 없는 상태였습니다. 개인정보보호위원회는 심의 기능만 가지고 있을 뿐 의견제시, 개인정보 영향평가, 권고, 공표, 자료제출 요구, 과징금 부과, 고발 및 징계권 등의 권한이 안전행정부장관에게 있는 '껍데기 위원회'가 되고 만 것입니다.

안행부-방통위-금융위 모두 '부적절'

1994년도 대규모 주민등록번호 유출 사건 이후로 20여 년 동안 끊임없는 대규모 유출사건이 발생했지만, 안전행정부는 유출된 주민등록번호 변경에 대한 요청도 거부해 왔고 제도 개선에도 소극적이었습니다. 안전행정부는 국민의 개인정보를 생성, 수집, 집적, 활용하는 행정전산망을 운용하는 곳으로, 객관적으로 개인정보보호 업무를 하기에 부적합한 곳입니다. 이는 다른 부처도 마찬가지입니다.

방송통신위원회는 2013년 말 '공개된 개인정보'라는 신종 개념을 만들어서 개인의 동의 없이도 상업적으로 유통하고 무한대로 사용할 수 있도록 하는 등 개인에게서 정보주체의 권리를 박탈하는 '빅데이터 개인정보보호 가이드라인(안)'을 만들기도 했습니다. 하지만 시민단체들이 반발하고 최근 카드 3사 정보유출 사건으로 여론의 눈치를 살피고 있는 상태입니다. 이런 정책을 만들어낸 방송통신위원회도 객관적인 개인정보보호 업무를 하기에 부적합니다.

금융위원회 또한 다르지 않습니다. 금융위원회는 금융지주회사의 계열사 간 금융실명정보 및 개인 신용 정보를 상호 공유하고 이를 영업에 활용하도록 한 책임이 있는 부서입니다. 신용정보 유통에 대해 사업주에 온정적일 수밖에 없지요.

큰사진보기
▲ 새누리당, 신용카드 개인정보 유출 사고 대책 당정협의회 KB국민카드, NH농협카드, 롯데카드사의 개인정보 유출 사고로 인해 고객들의 불안감이 커지고 있는 가운데, 20일 오후 서울 여의도 국회 새누리당 정책위의장실에서 열린 신용카드사 개인정보 유출 사고 대책 긴급 당정협의에서 김기현 정책위의장과 신제윤 금융위원장, 최수현 금융감독원장 등 관계자들이 대책 마련을 논의하고 있다.
ⓒ 유성호	관련사진보기

따라서 독립된 권한을 갖고 객관적이고 공정하게 '개인정보보호' 정책을 추진할 수 있는 곳이 필요합니다. 한국에는 현재 그런 곳이 없습니다. 중구난방과 엇박자로 인해 정보 주체의 인권은 늘 위태로운 상태입니다. 개인정보에 관한 보편적인 규범이 사회를 관통해야 하는데, 각 부처의 입맛에 따라 '빅데이터 개인정보보호 가이드라인(안)'과 같은 황당한 정책을 만들어내고 있으니 안타까울 따름입니다.

하루라도 빨리 개인정보보호위원회가 의견제시, 권고, 시정명령, 자료제출 요구, 과징금 부과, 고발 및 징계권, 직권 조사권 등을 확보해서 '개인정보보호에 관한 호민관' 역할을 해야 합니다. 이를 위해서는 예산과 인사의 독립성도 확보되어야겠죠.

2013년 개정된 OECD 개인정보보호 가이드라인은 '공공부문과 민간부문에 관계없이' 관통해야 함을 천명하고 있습니다. 또한 객관성과 공정성을 갖고 일관된 기준으로 의사결정을 할 수 있는 개인정보보호 집행기구의 설치를 권고하고 있습니다. 비정상적인 현재의 개인정보보호위원회는 권한 강화를 통하여 정상화 되어야 합니다. 이것은 지금, 우리 사회가 할 수 있는 개인정보보호를 위한 최소한의 노력입니다.