정수연(EU 개인정보보호 협력센터장)
A는 잠시 자리를 비운 직원의 자리에 앉아, 직원의 PC로 내부 시스템에 접근을 시도했다. PC엔 잠금 설정이 되어 있지 않아 손쉽게 내부 시스템에 접근할 수 있었다. 몇 번의 클릭으로 찾고 있던 B의 현재 위치와 연락처 등 B와 관련된 모든 정보를 손에 넣었다. 이후 누구의 눈에도 띄지 않고 유유히 건물을 빠져나갔다. 단 몇 분 만의 일이었다. A가 개인정보 유출을 어디에서 시도하느냐에 따라 A가 확보할 수 있는 B에 대한 개인정보는 이름, 생년월일, 사진, 가족 관계부터 현재의 건강 상태, 각종 생체정보 등에 이르기까지 무궁무진하다.
드라마나 영화, 소설 등에서나 등장할 것 같은 위와 같은 일이 지금 우리 주변에서 발생하고 있다. 더욱 안타까운 사실은 유출된 개인정보가 범죄에 활용되기도 하고, 가해자가 피해자를 협박하는 수단으로 악용되고 있다는 점이다.
대한민국을 발칵 뒤집었던 일명 ‘N번방 사건’을 기억하는가? ‘N번방 사건’은 2018년 하반기부터 2020년 3월까지 텔레그램 등으로 피해자를 유인한 뒤 협박을 통해 성착취물을 찍게 하고 이를 유포한 디지털 성범죄 사건이다. 가해자들은 피해자와 가족 및 지인의 개인정보를 확보해 피해자를 옭아맸다. 해당 사건이 더욱 사회적 공분을 샀던 것은 가해자에게 피해자의 개인정보를 제공했던 공범이 바로 사회복무요원으로 구청에 근무하고 있던 자였기 때문이다. 심지어 그는 불법으로 개인정보를 유출해 스토킹에 악용한 혐의로 징역형을 받고 수감된 범죄자였다. 출소 후 그는 남은 의무 복무기간을 사회복무요원으로 복무하게 되는데 어처구니없게도 한 구청의 가정복지과로 배정받았다. 그는 더 많은 개인정보에 접근할 수 있는 자리로 배정받은 것이다. 이 과정에서 그는 204명의 개인정보를 무단 조회했으며, 이 중 107명의 개인정보를 N번방 사건의 주범들에게 제공했을 뿐만 아니라 자신이 스토킹했던 피해자에게 또다시 상상조차 힘든 협박과 위협을 가했다.
개인에 의한 개인정보 조회 및 유출에 따른 사고는 독일에서도 빈번히 발생하고 있다. 2022년 헤센주 개인정보 감독기관은 경찰관 C가 3년간 사적인 목적을 위해 경찰 데이터베이스에 접근해 개인정보를 조회하고 유출한 혐의로 7,380유로의 벌금을 부과했다. 이 밖에도 감독기관은 헤어진 전 연인의 현주소를 조회해 찾아간 경찰관, 호감 있는 고객에게 연락하기 위해 회원 정보를 열람하여 연락을 취한 직원, 지인의 부탁으로 제삼자의 연락처를 조회해 제공한 공무원 등 사적 목적을 위해 개인정보 데이터베이스에 접근한 다수의 건을 GDPR 위반으로 처벌했다.
이 같은 사건·사고를 억제하고 예방하기 위해서는 가장 먼저 개인정보에 대한 접근통제가 필요하다.
개인정보를 처리하고 있는 개인정보 처리자는 반드시 필수적인 사람만이 개인정보에 접근 권한을 가졌는지 확인해야 한다. 시스템상에서는 개인정보에 접속을 시도하는 자가 접근 권한을 가진 사람인지를 검증하기 위한 비밀번호, 인증 등 다양한 조치를 통해 불법적인 접근을 차단하기 위해 노력해야 한다.
자산투자에서 가장 유명한 격언 중의 하나인 ‘달걀을 한 바구니에 담지 말라’는 투자 시 위험을 최소화하기 위해서 자산을 분산하라는 메시지를 전달하고 있다. 이 오래된 격언은 개인정보 처리에도 유용한 가르침을 주고 있다. 개인정보 처리에 따른 위험을 줄이고, 유출 시 발생하는 피해를 최소화하기 위해서는 개인정보 역시 분리·분산해야 한다. 개인정보는 처리 목적과 개인정보의 종류, 유출 시 야기되는 위험도 등에 따라 구분하고 분리할 수 있다.
앞서 언급한 두 가지 조치와 관련하여 지난 9월 22일 개정된 대한민국의 ‘개인정보의 안정성 확보조치 기준’을 참고자료로 활용해 볼 수 있다. 이번 ‘개인정보의 안전성 확보조치 기준’의 개정은 ‘개인정보보호법 2차 개정’에 따라 진행되었다. 개정된 기준에는 ‘접근권한의 관리(제5조)’, ‘접근통제(제6조)’, ‘개인정보의 암호화(제7조)’ 등 구체적인 대응방안과 검토 기준 등을 포함하고 있어 실무에서 직접 적용하고 검토해보는 유용한 자료로 활용될 수 있다. GDPR 대응방안을 마련해야 하는 EU 진출 우리 기업의 담당자께서도 개정된 ‘안전성 확보조치 기준’을 참고하 보시길 권장한다.
마지막으로 지속적이고 꾸준한 지원과 투자가 필요하다. 안전하게 개인정보를 보호하고 처리할 수 있는 환경을 구축하고, 업무상 개인정보를 처리하는 모두가 책임감을 느끼고 자신의 업무를 수행할 수 있도록 독려하기 위해서는 적극적인 투자와 지원이 뒷받침되어야 한다. 하지만 ‘N번방 사건’과 같이 사회적 파장이 심각한 사건이 발생했을 때만 잠시 경계를 강화하고 주의를 기울이다 금세 모든 것을 잊고, 예전으로 되돌아가는 안타까운 모습을 자주 목격하게 된다. 디지털 시대의 핵심 자원인 데이터 중에서도 더욱 가치 있고 의미 있는 데이터를 이끌어 낼 수 있는 개인정보를 위해 소요되는 예산과 노력은, 비용이 아니라 개인정보를 제공하는 개인으로부터 신뢰를 얻고, 디지털 시장에서 성장할 수 있는 원동력을 갖게 해주는 ‘투자’라는 점을 잊지 않았으면 한다.
개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(‘21.11.10.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다. 해외 개인정보보호와 관련한 자료를 이용하시는 분들의 편의를 위해 그간 분산되어 있던 해외 개인정보보호 관련 자료를 통합하여 개인정보보호위원회 홈페이지에서 한 번에 제공해 드리기 위해 개편 중입니다. 현재 운영 중인 GDPR 대응지원센터 홈페이지는 올 연말까지 운영예정임을 안내해 드립니다. 개편되는 개인정보보호위원회 홈페이지에도 많은 관심과 성원을 부탁드립니다. 감사합니다. |
1344호 19면, 2023년 12월 22일