공공기관의 개인정보 유출, 심각한 범죄수준

공적기관들이 별다른 죄의식 없이 저지른 것으로 보이는 심각한 범죄가 확인되었다. 국민건강보험공단과 국민연금공단 직원들이 가입자들의 개인정보를 무단 열람하고 유출한 사건이 그것이다. 국회 보건복지위 장복심 의원(대통합민주신당)에 따르면, 국민건강보험공단에서는 개인정보를 보험회사에 유출한 사건이 2002년부터 올해(2007)까지 매년 발생해 총 41명이 징계처분을 받았다. 국민연금공단의 경우에는 지난해(2006) 1, 2월 두달 동안의 감사에서 691명의 직원이 1647건의 정보를 업무외 목적으로 열람한 것이 확인되었다.
 

  이 정도면 개인정보에 대한 열람 및 유출이 일상적으로 일어나고 있다고 보아도 무리는 아닐 듯싶다. 많은 직원들이 아무렇지 않게 이같은 행위를 저지르는 것을 보면, 개인정보를 들여다보고 남에게 건네주는 것이 범죄가 될 수 있다는 생각을 하지 못한다고 보아야 할 것이다. 공단측이 이런 일은 대부분 정치인이나 연예인에 대한 호기심 차원의 열람이라고 변명하는 것을 보면, 그들이 아무런 죄의식 없이 그러고 있음을 더욱 분명히 알 수 있다.
 
  빈발하는 공공기관에서의 개인정보 유출
 
  더구나 한 공단직원이 애인의 과거를 알아봐달라는 친구의 부탁을 받고 전산망에 접근해 임신중절을 받은 진료정보를 빼내 알려준 것이나, 또다른 직원이 조직폭력배가 낀 채권추심업자에게 개인의 재산과 주민등록 자료를 유출한 것은 단순한 열람의 차원을 넘어 범죄와 연결될 수도 있다는 점에서 더욱 심각하다. 그러나 우리가 이들에 대한 처벌과 징계를 소리높여 외치고 있을 때 더욱 중요한 문제의 본질을 놓칠까 걱정된다.
 
  지난 수년간 이같은 행위가 버젓이 저질러지고 있음에도 자체 내의 징계에 머무르고 있는 것에 대해 주요 언론들은 한목소리로 엄벌에 처하라고 주장하고 있다. 하지만 정보의 열람 및 유출이 이처럼 일상적인 범위에서 저질러지고 있다면, 엄벌에 처해지더라도 죄의식을 가지기보다 '재수없게 걸렸다'는 식으로 생각하기 마련이어서 미봉책이 될 뿐이다. 개인정보를 쉽게 들여다볼 수 있는 사람이, 또 주변의 누구나 그렇게 하고 있는 상황이라면, 언제든 유사한 상황이 발생할 개연성이 있기 때문이다.
 
  이런 위험이 몇몇 공적기관에만 한정된 것일까? 한달여 전에는 교육부의 네이스(NEIS)정보가 유출된 사건이 있었다. 각급 학교에서 학원가로 유출되었다고 추론되고 있는데, 개인정보를 수집한 국가기관도 유사한 위험에서 자유롭지 않다는 것을 알 수 있다. 이런 일련의 사건들은 특히 국가기관이 언제든 국민의 사생활에 관한 정보를 열람할 수 있다는 것을 보여주었다는 점에서 중요하다. 과거 군부독재 시절의 정치사찰이나 민간인사찰처럼 특정 인물의 추적을 통한 정보획득이 아니라, 어느 공적기관이든 아무 때나 특별한 정보취득활동 없이 개인의 사생활을 살펴볼 수 있는 것이다. 이를 가능케 한 것은 행정상의 효율과 편의를 위한 행정정보의 집중이다. 특히나 우리의 경우처럼 주민등록번호를 중심으로 개인정보가 국가에 집중된 것은 국가가 언제든 그 정보를 들여다볼 가능성을 높여주었다.
 
  편리한 만큼 위험한 개인정보 집적 및 집중
 
  혹시 <에너미 오브 스테이트>(Enemy of the State)란 영화를 본 적이 있는가? 액션영화처럼 보이는 이 영화에서는 온갖 정보를 거머쥔 공권력이 개인을 어떻게 파괴할 수 있는지가 잘 드러난다. 정보를 집적·집중하고 있는 권력이 자신 외에는 누구도 그 정보에 접근하는 것을 허락지 않고 그 정보를 독점하여 권력을 위해 사용할 때 개인이 얼마나 무력해지는지 보여주는 것이다(물론 영화는 미국영화 특유의 결론대로 개인이 악한 권력을 이기는 것으로 끝난다). 지금의 사태를 이 영화에 견줄 수는 없지만, 중요한 점은 행정의 편의와 효율이라는 이름으로 진행된 개인정보의 집적·집중이 그 정보를 다루는 사람들의 막연한 '선의'에만 기댈 뿐이어서 언제나 사생활 침해의 가능성을 안고 있다는 것이다. 국가가 단순히 사적 영역을 제한하고 사찰한다는 의미 이상으로, 이번 사례에서 보듯이 인권침해 및 범죄에의 악용 소지까지 열려 있는 것이다.
 
  따라서 개인정보를 이용한 범죄나 인권침해를 방지하기 위해서는 무엇보다 개인정보의 집중과 집적 대신 정보의 분산 관리가 필요하다. 즉 특정한 목적을 위해 수집된 정보는 다른 기관에서 다른 목적으로 수집된 정보와 통합되지 않고 분리된 상태로 유지할 필요가 있는 것이다. 지금처럼 주민등록번호만 입력하면 금융정보와 건강정보를 비롯한 모든 정보들을 볼 수 있도록 한 곳에서 관리되는 것만큼 위험한 것은 없다.
 
  그러나 효율과 편의라는 이름 아래 개인정보를 집중하고 집적하는 씨스템의 구축을 피할 수 없다면, 씨스템 자체에 대한 감시와 견제를 즉각 시행하지 않으면 안된다. 이는 OECD의 프라이버씨 보호 및 개인정보의 국제적 유통에 관한 가이드라인에 나오는 '공개의 원칙'이기도 하다. 공적기관들의 편의와 효율을 위해 개인정보를 집중·집적한다면 당연히 그 기관들은 그런 효율적 이용에 따르는 감시와 견제라는 불편함을 감수해야 한다. 말하자면 정보의 집적·집중을 피할 수 없다면 그런 기관들에 대한 역감시체계가 만들어져야 하는 것이다.
 
  공무원 혹은 공적기관은 공적 지위를 갖고 있다는 것만으로 늘 자신들이 선(善)일 것이라고 생각할지 모르지만, 이번 사례에서 보듯이 그렇지 않음은 명백하다. 우리가 감시카메라 뒤의 사람이 도둑을 감시하지 않고 다른 사람의 사생활을 들여다보는 재미를 누리고 있는데도 이를 알 수 없었다는 것은 이미 외국의 예에서도 확인되고 있다. 어디든 공적기관들이 개인의 정보를 집중하고 집적하거나 카메라를 들이대는 곳이라면 그들의 행위를 견제하고 감시할 감독체계로서의 개인정보보호위원회가 구성되어야 한다.
 
  개인정보보호법을 즉각 제정해야 한다
 
  사실 2000년부터 진보넷이나 '함께하는 시민행동' 같은 시민단체들은 이같은 사태를 예견하고 개인정보보호법 제정을 강력하게 요구해왔다. 그럼에도 지금 이들 단체가 제안하고 몇몇 의원의 이름으로 발의된 개인정보보호법은 국회에서 잠자고 있다. 한나라당이 이들 공적기관이 이명박 후보의 개인정보를 열람했다며 정치적 탄압이라 열내고 있는 것을 보면, 할 일을 제때 안하고 뒤늦게 방귀뀐 놈이 성낸다는 생각밖에 나지 않는다.
 
  개인정보는 한 사람의 일생이 좌우될 수도 있는 문제라는 점에서, 이명박 후보의 개인정보든 필부의 것이든 중요하기는 마찬가지다. 진실로 자신들의 후보를 보호하거나 공적기관들이 죄의식 없이 저지르는 범죄적 행위를 근절하고 싶다면 개인정보보호법을 즉각 제정해야 한다. 이번 국민건강보험공단과 국민연금공단 직원들의 일부 범죄적 행태는 다시금 이 법의 제정이 시급함을 말해준다. 그저 징계나 처벌로 끝낼 일이 아니다.하승창/시민운동가(함께하는 시민행동)

서울경찰청 외사과는 국내 유명 통신업체 등의 기업 홈페이지를 해킹해 고객 정보 100만 여 건을 빼내 팔아온 혐의 등으로 25살 전 모 씨 등 2명을 구속하고, 박 모 씨 등 2명을 불구속 입건했습니다.

전 씨 등은 지난 1월 쯤 모 통신 도봉지점과 모 인터넷 서비스 제공업체 등 기업 홈페이지 10여 곳에서 100만 여 건의 개인 정보를 빼내 이 가운데 수만 건을 1,000여만 원을 받고 판 혐의를 받고 있습니다.

지난 2월에는 온라인 상품권 개인식별번호 13만여 건을 해킹해 온라인 머니를 구매한 뒤 이를 환전하는 수법으로 4,300만 원을 챙긴 혐의로 받고 있습니다.

이들은 또, 해킹정보를 이용해 스팸문자를 보내는 수법으로 한 알에 1,000원 정도인 중국산 가짜 비아그라를 만 원 씩 받고 팔아 1억 2,000만 원을 챙긴 혐의도 받고 있습니다.

경찰은 이들 외에 전문적인 해킹 작업을 담당한 것으로 알려진 35살 신 모 씨의 뒤를 추적하고 있습니다.



- Copyrights ⓒ YTN & Digital YTN, 무단 전재 및 재배포 금지

- 해킹 관련 뉴스들 -

한겨레신문 공공기관 홈피 가입때 주민번호 안써도 된다 (2008.03.20)
전자신문 개인정보 웹사이트 90% 해킹 무방비 (2008.03.07)
세계일보 "옥션 회원 1760만명 개인정보 유출" 주장 논란 (2008.03.06)
한국경제 옥션發 소비자 피해 '비상' … 해킹 주민번호 유출 규모 파악 안돼 (2008.02.10)
서울 파이낸스 국민銀 인터넷 뱅킹 '해킹'…7천만원 '허공으로' (2008.02.24)
머니투데이 국가공공기관 해킹사고 '급증' (2008.02.17)
디지털타임즈 한국 해킹사고 아태지역 `최고` (2007.06.26)
강원일보 060콘텐츠 업체 DB해킹 개인정보 수백만건 판매 (2006.07.06)

개인정보 유출 '강력 처벌'

연내 개인정보보호법 제정

프라임경제 박광선 기자

[프라임경제]개인정보 유출사범에 대한 처벌을 강화한다.

행정안전부(장관 원세훈)는 개인정보의 유출 및 오ㆍ남용 근절을 통해 안전한 정보사회를 구현하기 위하여 종합적이고 강력한「공공기관 개인정보보호 종합대책」을 수립하고, 단계별로 추진하기로 했다. 종합대책은 기존의 개인정보 침해 사례와 원인 분석을 토대로 관리ㆍ기술ㆍ인식ㆍ제도 차원을 망라한 4대 분야, 15개 추진과제를 담고 있다.

특히 금번 대책에는 정부조직개편으로 행정안전부가 개인정보보호 총괄ㆍ조정 기능을 수행하게 됨에 따라, 그간 국회, 시민단체 등에서 지속적으로 요구해 왔던 공공ㆍ민간을 포괄하는 단일「개인정보보호법」제정 추진이 핵심 과제로 포함되어 있다.

단일법은 연내 입법화를 목표로 그동안 의원입법, 시민단체 등에서 꾸준히 논의되었던 주요 이슈에 대하여 충분한 연구와 공론화 과정을 거쳐 제정할 예정이며, 그간 법 적용에서 배제되었던 국회ㆍ법원 등 헌법기관과 오프라인 사업장까지 적용 범위를 확대하고, 개인정보의 수집에서 파기에 이르는 개인정보처리원칙을 국제 기준에 맞게 규정할 계획이다.

또한, 민간부문에 비해 상대적으로 낮았던 공공부문의 개인정보침해에 대한 처벌 수위를 대폭 높이고, 개인정보 무단 조회ㆍ열람을 방지하고자 개인정보 이용내역에 대한 로그기록 보관 의무화 등을 적극 도입할 예정이다.

아울러 그간 관리가 되지 않았던 민간부문 CCTV 설치 및 개인영상정보관리의 법적 근거도 적극 마련할 계획이다.

이날 발표된 종합대책의 분야별 주요 추진 과제는 다음과 같다.

첫째, 개인정보 수집부터 파기까지 전단계 관리 및 점검을 강화할 계획이다.

공공기관 개인정보보호 실태조사를 내ㆍ외부 상시점검체계로 개선하고, 취약기관은 별도 기획조사를 실시하여 결과는 언론 등에 적극 공개할 예정이다.

개인정보보호수준을 체계적으로 진단ㆍ평가할 수 있는 수준진단 프로그램을 전 중앙ㆍ자치단체에 보급ㆍ확산하고, 결과는 개인정보보호지수로 관리함으로써 각급기관의 개인정보 관리역량을 획기적으로 높일 계획이다.

공공ㆍ민간 부문을 통합하는 단일한 개인정보침해신고접수 창구를 운영하여 권리 침해에 따른 대응력을 강화하고 국민 편의를 증진할 예정이다.

또한, 웹사이트 개인정보 노출 근절과 취약점 개선을 위하여 집중점검 대상 사이트를 지속적으로 확대(금년도 1,000개 기관, 2,000개 사이트)하고, 개인정보 노출시 징계 처분 요구 등 강력 대처키로 하였다.

둘째, 기술ㆍ시스템적 기반에 의한 개인정보보호 장치를 강화한다.

주민번호 오ㆍ남용, 도용 근절을 위해 공공기관 웹사이트 회원가입이나 게시판 이용시 주민번호대체수단(G-PIN)을 2010년까지 전 공공기관에서 사용하도록 추진할 계획이다.

공공기관 개인정보취급자의 접근권한을 보안성이 뛰어난 행정전자서명(GPKI) 방식으로 강화하고, 권한의 임의 양도ㆍ대여를 금지함으로써 정보 무단유출을 차단하고, 책임소재를 명확히 할 예정이다.

아울러, 실시간 개인정보파일 현황 관리 및 개인정보 노출 자동 대응 등 개인정보보호업무를 체계적으로 지원하는 ‘종합관리시스템’을 중장기사업으로 추진하고, RFIDㆍ바이오정보 등 새로운 정보매체 발달에 따른 보호대책도 적극 강구하기로 하였다.

셋째, 교육ㆍ홍보를 통한 개인정보보호 인식을 제고해 나갈 계획이다.

각급 기관의 개인정보관리책임자(CPO), 개인정보보호 담당자에 대한 연간 교육이수를 의무화하여 이들을 개인정보보호 전문인력으로 육성할 예정이다.

또한, 중앙공무원교육원ㆍ지방행정연구원 등 각급 교육기관에 ‘개인정보보호과정’을 편성, 전 공무원에게 개인정보보호 교육기회를 제공하고, e-Learning 컨텐츠 개발 등으로 자체 교육도 적극 지원할 예정이다.

특히, 담당자의 경각심 고취를 위해 침해유형별로 강화된 징계기준안을 마련하고, 명백한 위법사항은 적극 형사고발 조치하는 한편, 손해 발생시 관련자에 대한 구상권을 적극 행사토록 조치할 계획이다.

넷째, 시의적절한 선제적 법ㆍ제도 기반을 확충할 예정이다.

공공ㆍ민간을 포괄하는 단일한 「개인정보보호법」을 연내 제정하여 법 적용 사각지대를 해소하고 정보주체의 권리를 적극 강화하는 한편,

공공기관에서 대규모 민감정보파일 구축시 개인정보 침해위험성과 보호대책을 사전 평가하는 예방적 ‘사전영향평가제도’를 심층적인 연구를 거쳐 추후 법제화시 반영할 예정이다.

또한, 현재 2.9%에 불과한 국가정보화 예산 대비 정보보호 예산을 2010년까지 선진국 수준인 9%로 단계적으로 확충함으로써 개인정보보호인프라를 강화해 나갈 계획이다.

향후, 행정안전부는 금번 종합대책이 실효성 있게 이행될 수 있도록, 금번 대책을 지침화하여 각급 기관에 시달하고, 각급 기관은 자체 실정에 맞는 자체 대책을 수립하도록 요구하는 한편 종합대책에 대한 전국 권역별 순회교육을 오는 4월부터 실시하고, 각급 기관의 대책 이행 여부를 연중 상시 점검해 나갈 예정이다.