잊을 만하면 또 터진다. 개인정보 대량 유출사고. 이번에는 카드사, 은행, 할부금융사들이다. 2014년 들어서서 ‘금융소비자 보호’ ‘선진 금융서비스’와 같은 멋진 구호나 의욕적인 사업계획이 무색하게도 연일 방송 언론매체를 뒤덮고 있다.

금번 사고에 있어서 과연 무엇이 문제였을까? 첨단 기법의 해킹이었을까? 보호시스템이나 기술적 조치가 안 되어서 발생했을까? 아니다. 이러한 복잡한 문제가 아니었다. ‘사람(人)’이 문제였다. 내부직원이 실적 욕심에 대출 모집인에게 정보를 유출하거나 전산망 관련 용역을 맡은 외부 전산인력이 내부 전산망에 몰래 접속해 고객정보를 빼돌려 팔아 치운 것이다.

돌이켜 보면, 시간이 흐르고 기술환경이 바뀌어도 그간 개인정보 대량 유출사고의 대부분은 사람 문제였다. 내부직원의 고의적 유출 또는 과실, 개발·용역업체 직원의 파일 복사·USB 반출, 회원 유치 과열경쟁과정에서 대리점·판매점 직원의 불법매매 행위 등이 주요 원인이다.

개인정보보호를 위한 갖가지 제도개선과 조치사항들이 강조되고 있는 시점, 그 출발점은 바로 ‘사람(人)’이 되어야 한다. 최근 기업을 대상으로 설문조사결과(’13. 5월, 1,029개 기업)도 시스템 복잡성(전년대비 위협 증가율 △14%)이나 데이터 증가요인(△19%)보다도 사람관리(+11%)를 가장 큰 보안 위협요인으로 지적하고 있다.

개인정보보호, 그 본질을 바라 보면서, 문득 스포츠 중 ‘야구 경기’와 비슷한 모습을 몇가지 발견하게 된다.
첫째, 야구는 다른 스포츠와 달리, 공(球)이 아니라 사람(人)이 홈베이스로 들어와야 점수가 난다. 주자(사람)가 1루, 2루, 3루를 밟고 홈베이스로 들어와야 비로소 점수가 된다는 것이다. 결국 사람 중심으로 모든 것이 이루어진다.
개인정보란 살아 있는 개인의 성명·주민등록번호 및 영상뿐만 아니라, 금융거래·통신사실자료 등을 포함하며, 최근 기술발달·서비스 다양화로 그 범위가 확대되고, 더 민감해지고 있다. 개인정보보호, 그 출발은 우리 조직·기업에서 개인정보가 어디에 있는지, 누가 어떻게 관리하고 이용하는지, 그 흐름을 파악하는 것이다.

둘째, 야구는 ‘Multiple Principle’이 작용하는 스포츠다. 투수 또는 타자 의존도가 큰 편이지만 아무리 강투수 강타자가 있더라도 수비수들이 중요한 순간에 실수를 하거나, 후속타자가 적시타를 때리지 못한들, 그 게임의 승패는 예측하기 어렵다. 개인정보 유출·오남용 사고도 마찬가지이다. IT 부서나 일부 직원만의 일이 아니다. 기업이나 기관의 고객관리, 각종 업무처리절차나 각종 서식 활용시 모든 직원들이 개인정보를 이용한다. 따라서 전사적인 차원에서 직원들이 개인정보보호에 대해 올바른 인식을 갖고 필요한 보호조치를 하고, 관리적인 측면에서 접근권한 관리·접근 통제 등과 같은 내부통제시스템 마련이 필요하다. 열 손가락 깨물어 안 아픈 손가락 없듯이 검지, 약지가 저지른 잘못을 내가 한 것이 아니라고 할 수 있을까?

셋째, 야구 경기를 보면 야구감독은 선수와 같은 유니폼을 입고 게임 순간순간 각종 ‘작전 지시, 싸인’을 하는 모습을 볼 수 있다. 훌륭한 감독일수록 적기에 적절한 ‘싸인’으로 게임을 승리로 이끈다. 개인정보보호도 마찬가지다. 기업의 대표나 임원들이 대량 유출사고가 났을 때 잠깐 나와서 사과만 하고 돌아서는 것이 아니라, 매일 매일, 업무 순간순간 마다 자사의 고객정보 보호 및 개인정보보호를 위해 적기에 적절한 ‘코치’, ‘싸인’을 해야 한다. 개인정보가 이용되고 처리되는 길목 길목의 직원, 부서장, 임원 모두가 개인정보보호 책임자인 것이다. 특정 부서만의 일이라 치부할 것이 아니라, 기업의 대표나 임원은 개인정보보호를 위해 해야 할 일이 무엇인지 알고, 필요한 보호조치를 지시하고, 인력·예산 투자에도 나서야 한다.

개인정보 대량 유출사고가 발생할 때마다 또 반복되는 일이 있다. 각 기업이나 기관에 대한 엄정한 점검·처벌과 함께 규제·처벌 수위를 높여야 한다는 것이다. 일정 부분 타당한 측면도 있고, 제도 개선이 필요한 사항도 일부 있을 수 있다. 그렇지만 아무리 처벌과 규제를 강화한다고 해도, 각 기업이나 기관의 현장에서 법제도를 이해하지 못하고, 필요한 최소한의 조치도 하지 않는 한, 소 잃고 외양간 고치는 일이 반복되거나 공허한 법 규제에 불과할 수가 있다.

대형 사고가 터질 때 일벌백계차원의 징계나 거창한 보호대책 마련을 외치기 보다는 우선은 각 기업이나 기관들 스스로가 고객정보나 개인정보가 무엇이고, 우리 직원들은 각종 업무처리시개인정보보호를 위해 꼭 지켜야 할 법령사항을 제대로 이해하는 지부터 챙겨봐야 할 것이다.
 

저작권자 © 법조신문 무단전재 및 재배포 금지