법제도/정책

[데이터3법①] 지금 생각해도 오싹…'개인정보보호 강화' 10년의 역사

이종현

바야흐로 데이터 활용의 시대다. 지난 1월9일 ‘데이터3법’으로 분류되는 개인정보보호법·신용정보법·정보통신망법 개정안이 국회 통과하면서 데이터 활용의 물꼬가 트였다. 데이터를 활용한 새로운 산업과 서비스가 대거 등장할 것으로 예상된다. 개인정보보호 문제도 이제 새로운 관점에서 바라봐야할 시점이 됐다. 데이터3법 개정안, 또 이로 인해 생길 변화들을 짚어본다. <편집자 주>


[디지털데일리 이종현기자] 활용과 보호는 반비례한다. 개인정보보호와 데이터활용, 두 마리 토끼를 동시에 잡는 것은 사실 불가능한 과제로 인식돼왔다.

데이터 활용을 늘릴수록 개인정보보호는 약화되고, 개인정보보호를 강화할수록 데이터 활용은 줄어들 수밖에 없다. 데이터3법 개정 전 한국의 법령은 개인정보보호에 무게를 뒀었다.

◆생각보다 짧은 개인정보보호의 역사

데이터3법이 처음부터 개인정보보호에 중점을 뒀던 것은 아니다. 오히려 개인정보보호의 역사는 생각보다 길지 않다. 특히 데이터3법의 모(母)법이라고 할 수 있는 개인정보보호법은 2011년 제정·시행된 법이다.

개인정보보호법이 제정되기 전에는 관련 법규 미비로 개인정보보호가 법적 사각지대에 놓였었다. 2010년 신고된 개인정보침해는 총 5만4382건이었으나 이중 법 적용 사업자는 신고 건수의 26.3%인 1만4401건에 불과했다. 이처럼 인터넷 활성화와 함께 개인정보의 중요성이 대두되며 이를 보호하기 위한 법 제도에 대한 수요가 늘어나며 개인정보보호법이 탄생했다.

데이터3법 중 개인정보보호의 역할을 가장 오랫동안 한 것은 신용정보보호법이다. 1995년 제정됐다. ‘신용정보’와 ‘개인신용정보’에 대한 개념을 도입하며 신용정보를 취급하고자 하는 사업자는 금융위원회의 허가를 받거나 신용정보와 무관한 정보를 수집·조사하지 못 하도록 하는 등의 내용을 담았다. 금융기관의 무분별한 개인정보 수집·조사를 제한하는 역할을 했다.

그리고 정보통신망법은 데이터3법 중 가장 오래된 법이다. 1986년 제정된 전산망보급확장과이용촉진에관한법률이 근간이다. 하지만 개인정보와 관련한 규정이 포함된 것은 1999년 정보통신망법으로 개정되면서부터다. 당초 개인정보를 처리함에 있어 이용자의 동의가 아니라 고지였던 것이 2007년 개정을 통해 이용자 동의를 받도록 하는 등 수차례 개정을 통해 개인정보보호 기능을 대폭 강화해왔다.

◆거듭된 침해사고, 더 강해진 '개인정보보호'

개인정보보호의 역사는 역실적이지만 개인정보침해의 역사다. 개인정보보호 전문가들은 2008년 오픈마켓 옥션의 해킹이 개인정보보호 강화의 시발점이라고 말한다. 2008년1월 옥션은 해킹으로 인해 1800만명의 개인정보가 유출됐다.

인터넷과 모바일에 기반한 온라인 경제의 확대는 필연적으로 개인정보보호의 위협을 초래했다. 불과 10년전이지만 지금 생각하면 오싹할 정도로 심각한 보안사고가 적지 않았다.

2008년 당시만 하더라도 주민등록번호는 암호화 대상이 아니었다. 옥션 해킹 당시 1000만건 이상의 암호화되지 않은 주민등록번호가 유출됐으나 ‘주민등록번호를 암호화해 저장할 의무가 없다’는 판결이 나온 배경이다. 이후 정보통신망법에서 주민등록번호를 암호화 대상에 포함했다.

개인정보보호법이 제정된 2011년 발생한 사고는 옥션 때 피해의 2배에 달한다. 네이트와 싸이월드를 운영하던 SK컴즈의 데이터베이스가 해킹되면서 3500만명의 개인정보가 유출됐다. 같은 해 넥슨에서도 약 1300만명의 개인정보가 유출되는 사고가 발생했다.

이런 잇단 개인정보 유출과 언론, 기업을 대상으로 한 대규모 해킹 사건인 ‘농협의 3.20 전산망 마비사태’를 계기로 대두된 것이 ‘망분리’다. 정보통신망법의 항목으로 법제화됐다.

◆2014년 카드 3사 대규모 개인정보 유출 사태로 쐐기

지속하는 보안 사고로 인해 개인정보보호의 목소리가 커지던 중 2014년 대형 보안사고가 연달아 터졌다. KB국민·NH농협·롯데 카드 3사 개인정보 유출 사고가 그것이다.

특히 보안의 중요성이 높은 금융사에서 발생한 개인정보유출이라 더 주목받았다. 당시 카드 3사에서 유출된 개인정보는 1억400만건에 달한다. 한국 인구의 2배에 달한다.

해당 사건은 해킹이 아니라 카드사의 시스템 개발을 하던 외부 용역 직원의 악의적 행위로 인한 유출이라는 점에서 해킹으로 인한 유출과는 성격이 달랐다.

외부자에게 더미 데이터가 아닌 중요한 데이터 원본을 준 데다 그 과정에서 접근 제어가 되지 않았다. 인가되지 않은 USB로 개인 정보를 빼낸 유출 방식도 국민에게 충격을 줬다. 또 카드 3사 개인정보 유출이 발생한지 3개월 만에 KT 홈페이지 해킹으로 1200만명의 개인정보가 유출됐다.

잇따른 개인정보 유출로 개인정보보호 필요성의 목소리가 커지면서 결국 2016년 보호에 초점을 둔 개인정보보호 관련 법 개정이 진행됐다. 이번 데이터3법 개정 전 금융권의 개인정보를 총괄하는 신용정보법과 일반 상거래회사의 개인정보를 맡는 개인정보보호법, 정보통신망법이 그것이다. 징벌적 손해배상제도 도입과 처벌 조항으로 형사처벌을 두는 등 개인정보처리자에 대한 규제를 대폭 강화했다.

하지만 그로부터 다시 4년의 시간이 흘렀고 상황에는 변화가 생겼다. 데이터 활용에 대한 필요성이 크게 높아지며 분위기가 반전된 것이다.

2009년만 하더라도 글로벌 시가총액 10위 내에 있던 석유, 금융, 유통, 자원 등 전통 기업들이 10년후인 2019년에는 데이터를 활용하는 정보기술(IT) 기업들에 밀려났다. 개인정보보호를 위해 데이터활용을 지나치게 억제해서는 안 된다는 의견에 힘이 실리기 시작했다. 지난 2018년, 개정된 개인정보보호법 개정법이 발의된 이유다.

특히 최근 2~3년간 '빅데이터(Big Data)' 와 인공지능(AI) 등 전세계적으로 데이터에 기반한 4차 산업 이슈가 시장을 강타하면서 우리 정부도 정책의 방향을 전환했다. 이 과정에서 데이터3법의 개정은 자연스러운 흐름으로 평가된다.

개인정보보호와 데이터 활용의 균형은 여전한 숙제다. 시장 참여자 모두를 만족하는 '균형'을 달성하는 것은 사실 신의 영역에 가깝다.

정책의 변화, 그에 따른 시장의 반응과 반작용, 그리고 또 다른 흐름의 전개, 이 모든 것이 연속적인 동적(Flow)인 흐름이기다. 정부나 기업이 신속하게 대응하기가 결코 쉽지않은 과제다. 하지만 이제 주사위는 던져졌다,

<이종현 기자>bell@ddaily.co.kr

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널