2024.05.17 (금)
공공기관, 인프라 부족
통신·포털, 정통망법과 모순돼 혼란
공공기관들은 그동안 국정원으로부터 정보보호 및 개인정보보호와 관련한 대부분의 관리감독을 받아왔으나 개인정보보호법 제정 이후로는 행정안전부의 관리감독까지 받고 있다.
기관들은 개인정보보호법 시행으로 개인정보보호에 대한 인식과 수준이 사회 전체적으로 확산됐다는 점에서는 긍정적이지만, 아직까지는 법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 지적하고 있다.
통신 및 포털 업계는 이미 방송통신위원회의 정보통신망법과 관련해 대부분의 개인정보보호 준수 준비는 마친 상태다. 일반 고객을 상대로 하는 B2C 산업일뿐더러 동종업계에서 이미 여러 차례 개인정보 유출사고가 있었던 만큼 업계 전반적으로 개인정보보호에 대해 적극적인 모습이다.
반면 법 해석의 모호함과 개인정보보호법과 정통망법과의 모순, 비현실적으로 강력한 규정 등으로 인해 혼란 및 부담을 호소하고 있다.
정보주체의 권리를 지키면서 사업자들의 부담도 줄이고 글로벌 기준에 부합하는 법 개정이 시급해 보인다.
연보라 기자 bora@ciociso.com
개인정보 수집 금지로 대국민 서비스 지원 방법 줄어
공공기관, 조직 개편 및 솔루션 도입 주력
▲ “개인정보보호법 준수를 위한 인프라가 부족한 듯하다. 또한 공공기관들은 예산 확보를 위해서는 상급기관의 예산 승인을 받는 등 절차가 필요하므로 점차적인 도입이 필요한 부분이 있는데 바로 이행토록 하는 것은 다소 현실성이 떨어지는 듯하다“ - 박제연 국민연금공단 개인정보보호부장 |
인식 확대 비해 법 준수 위한 인프라 부족
개인정보보호법 시행 1년 후, 공공기관들은 법의 효과에 대해 어떻게 평가하고 있을까?
먼저 개인정보보호에 대한 인식과 수준이 사회 전반적으로 확산됐다는 점에 대해서는 의견을 같이 하고 있다.
IT부서 등 특정 부서에서만 신경 써야 하는 부분으로 인식되던 개인정보보호업무가 현업 부서 몫으로도 확대됐다는 점에서도 의미가 크다고 할 수 있다. 개인정보보호를 위해 강제로라도 스스로의 업무 프로세스 자체를 손볼 수 있는 기회가 된 것이다.
특히 개인정보가 흘러가는 프로세스 자체에 보안이라는 개념이 녹아들어야 한다는 점을 현업부서가 인지하게 됐다는 것이 가장 큰 법령의 효과라고 기관 관계자들은 전한다.
반면 어두운 면도 존재한다.
기관 개인정보보호 담당자들은 아직까지 개인정보보호법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 평가하고 있다.
▲ “과거에는 고객 정보가 큰 자산 가치로서 부가가치를 창출하는 자원이었는데 이제는 리스크가 돼버렸다. 고객관리가 전혀 안되니 서비스 발전도 기대할 수 없다. 공공기관 서비스는 공익적인 측면이 많은데 개인정보보호 강화로 공익과 고객 편의를 위한 서비스가 저하되는 면도 간과할 수 없다” - 조용하 한국도로공사 정보보안팀장 |
고객관리 안되니 서비스 발전도 기대 못해
개인정보보호법 제정으로 야기된 또 하나의 문제는 기관들이 개인정보를 이용해 국민들에게 다양한 서비스를 제공할 여지가 원천 차단된다는 점이다.
한국도로공사에서는 항상 일정한 시간에 일정 구간을 출퇴근 이용하는 하이패스 고객에게 교통정보를 맞춤 제공해주는 서비스를 추진하고 있었으나 개인정보보호에 대한 이슈가 대두됨에 따라 해당 서비스를 폐쇄했다. 홈페이지 회원가입으로 수집된 고객정보 15만 건도 모두 폐기했다. 현재 한국도로공사 홈페이지상 민원 및 독자투고와 같은 일부 서비스만 아이핀 등의 인증절차를 통해 접근할 수 있게 돼있다.
고객 정보를 이용해 유익한 서비스를 제공할 수 있음에도 불구하고 법 제정으로 인해 관련 계획들이 폐기됐으며, 현재 민원 제기에 대한 우려로 엄두도 못 내고 있는 상황이다.
과거에는 개인정보 인식이 보편화되지 않았었지만 지금은 일반 고객들도 개인정보 인식이 월등히 높아져 SMS만 받아도 개인정보 출처에 대해 항의전화가 빗발치므로 기관들은 함부로 개인정보를 활용할 수 없다.
이에 대해 공사 관계자는 “과거에는 고객 정보가 큰 자산 가치로서 부가가치를 창출하는 자원이었는데 이제는 리스크가 돼버렸다”면서 “고객관리가 전혀 안되니 서비스 발전도 기대할 수 없다”고 지적했다.
특히 공공기관 서비스는 일반기업처럼 수익창출 목적보다 공익적인 측면이 많은데 개인정보보호가 강화되다보니 공익과 고객 편의를 위한 서비스가 저하되는 면을 간과할 수 없는 것이다. 이는 더 나아가 IT 발전의 저해 요소로도 작용할 소지가 있다는 것이 업계 관계자들의 목소리다.
일관성 있고 업계 부담 더는 현실적 법 개정 필요
통신·포털, 정통망법으로 개인정보보호 대응
▲ “이미 정통망법에 의해 개인정보보호법보다 강력한 수준의 개인정보보호를 추진해왔기 때문에 개인정보보호법과 관련된 이슈는 많지 않다. 통신업계는 딱히 법을 만족하기 위한 목적보다는 고객 정보보호 차원에서 개인정보보호에 충실할 수밖에 없다” - 박종화 LG유플러스 서비스 개발본부 IT 담당 상무 |
채용·인사정보 등 임직원 개인정보보호 강화
올해 통신·포털업체 중에는 고객이 아닌 기업 임직원들을 대상으로 하는 개인정보보호를 강화하는 데 주력하는 기업들이 많았다. 특히 채용 인사정보의 활용 및 폐기에 대한 절차가 강화됐다. 과거 많은 기업들이 채용 시 지원자들로부터 채용은 물론 입사에 필요한 정보까지 모두 수집하고 있었다.
NHN의 경우 개인정보보호법 제정 이후 채용에 필요한 정보만 받고 입사가 확정된 사람에 한해 구체적인 인사정보를 추가로 받도록 했다.
또한 과거에는 채용풀이라는 명목으로 이제까지 입사 지원했던 모든 사람들의 정보를 무한정 보유하고 있었다면, 최근 일정 정보보유기간을 정해 그 기간이 도래하면 채용 정보를 파기하고 채용풀을 다시 개편하는 방식으로 프로세스를 변경했다.
정통망법과 모순, 현실적 법 개정 필요
▲ “현실적으로 적용하기 어려운 법제를 만들어 놓고 실제 현실사회에서 위반했을 때는 위반이 아니라 합리화시켜주는 모순적인 분위기다. 정부에서도 계속 기준을 낮춰서 해석 하고 있는 듯하다. 너무 강력한 법을 만들어 놓고 실제 점검도 못하고 있는 상황이다”
- 이진규 NHN 개인정보보호팀장
법에서 요구하고 있는 개인정보보호 수준은 선진국의 것보다 훨씬 강력한 것이라고 업계는 이야기한다.
이에 따라 DB 암호화나 망분리 제도 등과 같이 막대한 예산이 투입돼야 하는 것을 법률적으로 제도화한 것은, 어떤 기업으로서는 진입장벽이 될 수 있다는 지적이다.
만약 회원 수가 증가해 성장세에 있는 기업이 있다고 가정하면, 망분리 적용 대상에 포함되지 않기 위해서는 회원 수를 제한해야 하는 사태도 그려볼 수 있다.
또한 개인정보보호법이 정통망법과 모순되는 측면도 있어 업계 혼란이 가중되고 있다.
개인정보보호법에는 정보 주체 이외의 자로부터 수집한 정보에 대해서는 수집과 이용이 가능하며 원래 주체가 요구하는 경우에는 처리를 중단할 수 있다고 명시되나, 정통망법에서는 이를 제한하고 있다. 최근 많이 등장하고 있는 카카오톡, 마이피플 등 모바일 인스턴트 매니저(MIM)가 이 경우에 해당한다.
기관들마다 법 해석도 제각각이라 법에 따라 기존 서비스를 만들어 제공하고 있는 기업들이 불확실한 상태에서 서비스를 해야 하면서 불안 위협도 높아졌다.
이러한 현상에 대해 한 업계 관계자는 ‘정통망법의 개인정보에 대한 애매모호한 정의를 개인정보보호법에서 그대로 가져온 것이 가장 근본적인 문제’라고 지적하고 있다.
더군다나 개인정보보호법에 대한 행안부의 일관성 있는 집행도 미흡하다고 업계는 말하고 있다.
한 업계 보안 담당자는 “현실적으로 적용하기 어려운 법제를 만들어 놓고 실제 현실사회에서 위반했을 때는 위반이 아니라 합리화시켜주는 모순적인 분위기가 연출되고 있다”며 “정부에서도 계속 기준을 낮춰 해석을 하고 있는 듯하다”고 전했다. 강력한 법을 만들어 놓고 실제 상황에서는 점검조차 하지 못하고 있는 상황인 것이다.
또한 업계는 개인정보보호 강화로 인해 기업 활동에 있어 번거로운 부분들이 가중됐다고 토로하고 있다.
일례로 영업상 고객 정보를 활용하기 위해서는 각 개인에게 일일이 동의를 받아야 한다. 이는 고객 입장에서도 방대한 약관을 살펴보고 동의 여부를 체크하기란 여간 불편한 점이 아니며, 비현실적인 조항이라는 업계의 지적이다.
포털 업체의 개인정보보호 담당자들은 업계 현실에 맞춘 개인정보보호법 개정을 제안하는 정책제안서를 만들어 정책 입안자에게 제안을 준비 중이다.
정보주체 권리를 지키면서 사업자들의 부담도 줄이고 글로벌 기준에 부합하는 법 개정이 필요하다는 업계 주장이다.