[CEO칼럼] 읽는 이 없는 ‘개인정보 취급 동의서’

2011.03.31

 

“우리나라는 법적 분쟁이 유난히 많은 것 같은데 이유가 뭘까요?”

평생 공직에 몸담았다 은퇴한 분과 대화 중 나온 질문이다.

“법의 틀이 완전하게 잡히지 않은 게 근본 원인이겠지요. 사건이 터질 때마다 그걸 막는 데 급급해 땜질하듯 법과 규정을 만들어 넣다 보니 일관성이 부족합니다. 줄기가 튼튼하지 못한 상태에서 잎사귀만 뜯어고친 격이에요. 해석하기에 따라 결론이 달라질 수 있는 거지요.”

 

그의 지적이 사실에 얼마나 부합하는지는 법 전문가가 아닌 필자로서는 가늠하기 힘들다. 다만 몸담고 있는 정보통신기술(ICT) 분야와 관련해서는 몇 가지 하고픈 말이 있다.

 

 

수년간 표류하던 개인정보보호법이 드디어 국회 본회의를 통과했다. 인터넷 개방 시대에 프라이버시 보호가 얼마나 중요한지를 떠올려 보면 그야말로 만시지탄(晩時之歎)이지만, 이제라도 법적·사회적 기준이 마련됐다는 점에 큰 의미를 두고 싶다. 그동안에도 인터넷 관련 사업을 하는 기업들은 개인정보 유출이 사회적 이슈가 될 때마다 대책 마련에 부심해 왔다. 개인정보보호법이 실행되면 기업과 기관들의 긴장도는 더욱 높아질 것이다. 그런데 여기서 간과하지 말아야 할 것이 있다. 법 조항보다 더 중요한 건 국민들의 개인정보를 진정으로 보호하려는 실천 의지라는 점이다.

 

우리 사회의 각종 공적·사적 서비스 중에는 문제가 발생한 경우 그 책임을 일반 국민에게 전가하려는 것들이 적지 않다. 읽는 이가 거의 없는 개인정보 취급 동의서를 남발하는 것이 그 한 예다. 그런 문서를 꼼꼼히 읽고 서명하는 사람이 몇이나 될까? 설사 문구가 마음에 들지 않더라도 이에 동의하지 않으면 아예 다음 과정으로 넘어가지 못하게 하는 경우가 허다하다. 사업자들이 고객 편의보다 법적 책임을 피하는 데 급급한 까닭이다. 이런 방식이 만연하면 분쟁 폭증으로 법률 시장은 성장할지 모르나 국민의 프라이버시 보호엔 별 진전이 없게 된다. 더 많은 동의서에 서명한다고 해서 보안이 강화되는 것은 아니다.

 

그러니 기업들은 법적 보호막 마련에 치중하기보다 그런 법이 제정될 만큼 중요해진 개인정보의 가치와 시대정신에 대해 고민해야 한다. 특히 개인정보 유출은 각종 보안 침해 사고와 같은 맥락임을 알아야 한다. 개방된 네트워크 환경에서 보안 사고는 악성코드와 해킹, 사회공학적 수법을 총동원한 복합적 공격이다. 최근 발생한 디도스 공격도 치밀하게 설계된 악성코드에서 시작해 네트워크를 타고 순식간에 퍼져나갔다. 이런 사이버 침해의 결과는 고객 정보와 회사 기밀의 유출, 서비스 장애 등 다양한 형태로 나타난다. 표출되는 모양새가 각기 다르다 보니 관련 법과 규정 또한 제각각이다. 그러나 문제의 근원인 공격 시나리오 자체는 대동소이하다. 방비 기술 또한 같은 뿌리에서 나온다. 정보 보안을 위한 조직과 프로세스를 통일해야 하는 이유다. 우리나라에서 “사이버 보안 체제를 강화하고 전문 인력을 키워야 한다”는 총론은 벌써 10여 년 전부터 나온 얘기다. 핵심은 실천과 수행을 추동할 ‘각론’인데, 투자는 여전히 이뤄지지 않고 보안 전문가에게 주어지는 권한과 인센티브 또한 개선된 점이 별로 없다.

 

다시 개인정보보호법 얘기로 돌아가 보자. 이 법의 핵심은 개인정보를 실질적으로 보호할 수 있어야 한다는 것이다. 이를 위해선 개인정보의 취급 자체를 최소화하고 보안을 위한 실질 대책을 마련해야 한다. 그런 의미에서 정보 보안은 근본적으로 최고 경영진의 몫이다. 정보의 생성과 소멸, 관리는 조직과 사업 전반에 두루 스며 있다. 이를 제대로 보호하려면 보안 의식이 조직 문화의 하나로 확고히 자리 잡고 있어야 한다. 그렇게만 된다면 국민의 신뢰는 절로 따라올 것이다.<Ahn>

<이 내용은 3월 21일 자로 중앙일보에 실린 CEO 칼럼입니다.>