[현장+]"개인정보 안심하세요"…'양치기 소년'이 바뀌지 않는 이유
이규창
"개인정보 유출로 인한 2차 피해는 없습니다. 안심하고 거래해주세요"
기업들의 고객 개인정보 유출이 발생할 때마다 반복되는 사과와 약속이다.
금융, 통신, 인터넷 서비스 등 정보유출 사고를 일으킨 기업들은 고객이 원치 않아도 어쩔수 없이 제공한 개인정보를 광고와 마케팅에 활용했고 제3자에 제공해 수익도 챙겼다.
수익은 챙겼지만 정보유출을 막는 보안에는 얼마나 투자했는지 의문이다. 내역을 공개한 적은 없지만 업계 관계자들에게 물어보면 "그중 10분의 1이라도 제대로 투자한 곳이 있겠느냐"는 비아냥섞인 대답이 돌아온다.
개인정보 유출 사고는 매번 비슷한 형태로 반복된다. KT는 대리점을 통해, 카드사들은 개발업무 위탁업체를 통해 정보가 빠져나갔다.
2012년 KT는 대리점을 통해 정보가 유출되자 하청업체 등에서 함부로 정보를 빼갈수 없게 보안을 강화하겠다고 발표했다. 당시 카드사들도 "우리는 문제 없나?"라며 스스로 돌아봤더라면 이번 사고는 없었을지 모른다.
우화에서 '양치기 소년'이 계속해서 거짓말을 반복하자 더이상 마을 사람들이 찾아오지 않았다.
그러나 국내 금융, 통신 산업은 규제의 울타리 안에서 몇몇 기업끼리만 경쟁하는 상황이라 소비자들이 찾아가지 않을 방법이 없다. 그러니 거짓말한 양치기 소년에게는 벌을 줘야 한다.
규제 당국은 "철저하게 조사해 잘못이 있으면 엄벌하겠다"며 으름장을 놓는다. 과연 그런지 잘못을 따지는 규제당국의 조사 방법을 살펴보자. 사고가 발생한 회사에 가서 개인정보보호책임자가 선임돼있는지 확인한다. 법규로 정한 최소한의 보안장치를 갖췄는지 확인한다.
그리고 개인정보 담당자의 근무일지를 확인한다. 일지가 누락돼있으면 '관리 소홀' 책임으로 과태료를 부과하고 꼬투리 잡을게 없으면 "기업은 의무를 다했다"고 판단한다. 기업에게 '최대의 노력'보다 '최소'만 할 것을 권하는 셈이다.
기업의 대표들은 카메라 앞에서 고개를 숙인다. 그리고 "2차 피해는 없다"고 단정해 말한다. 그들의 말은 "어떤 신용카드 부정사용 상황이 발생해도 이번 정보유출과는 무관하다"고 선을 긋는 것 같다. 범죄자를 잡아서 심문하지 않는 한 어떤 경로로 정보가 유출된건지는 알 수 없으니 말이다.
법원도 관련 소송에서 '개인정보 유출' 자체는 피해가 아니라는 판례를 만들었다. 2차 피해를 소비자가 입증할 방법이 없으니 소비자는 기업에게 손해배상 책임을 물을 수 없게 된다.
어리석은 외양간 주인은 소를 잃고 나서 외양간을 고친다. 문제는 남의 소를 맡아 보관하는 외양간 주인이다. 방법은 간단하다. 주인에게 몇 배로 배상하게 하면 외양간 주인이 잃기전에 먼저 외양간을 고친다.
규칙을 어긴 벌은 규칙을 어겨서 얻을 이익보다 무거워야 하지만 현실은 그렇지 않다. 계속해서 반복되는 개인정보 유출 사고는 시스템이 부추기고 있는 셈이다.
부정한 의도로 정보에 접근하는걸 차단하고, 혹시 유출됐더라도 사용이 불가능하게 암호화하는 등의 보안시스템을 갖추는데는 수억원에서 수십억원의 투자가 필요하다. 그러니 현재로서는 수천만원의 과태료와 고개 몇번 숙이는걸 택하는게 기업의 입장에서는 더 효율적인 보안인 셈이다.
기업들의 고객 개인정보 유출이 발생할 때마다 반복되는 사과와 약속이다.
금융, 통신, 인터넷 서비스 등 정보유출 사고를 일으킨 기업들은 고객이 원치 않아도 어쩔수 없이 제공한 개인정보를 광고와 마케팅에 활용했고 제3자에 제공해 수익도 챙겼다.
수익은 챙겼지만 정보유출을 막는 보안에는 얼마나 투자했는지 의문이다. 내역을 공개한 적은 없지만 업계 관계자들에게 물어보면 "그중 10분의 1이라도 제대로 투자한 곳이 있겠느냐"는 비아냥섞인 대답이 돌아온다.
개인정보 유출 사고는 매번 비슷한 형태로 반복된다. KT는 대리점을 통해, 카드사들은 개발업무 위탁업체를 통해 정보가 빠져나갔다.
2012년 KT는 대리점을 통해 정보가 유출되자 하청업체 등에서 함부로 정보를 빼갈수 없게 보안을 강화하겠다고 발표했다. 당시 카드사들도 "우리는 문제 없나?"라며 스스로 돌아봤더라면 이번 사고는 없었을지 모른다.
우화에서 '양치기 소년'이 계속해서 거짓말을 반복하자 더이상 마을 사람들이 찾아오지 않았다.
그러나 국내 금융, 통신 산업은 규제의 울타리 안에서 몇몇 기업끼리만 경쟁하는 상황이라 소비자들이 찾아가지 않을 방법이 없다. 그러니 거짓말한 양치기 소년에게는 벌을 줘야 한다.
규제 당국은 "철저하게 조사해 잘못이 있으면 엄벌하겠다"며 으름장을 놓는다. 과연 그런지 잘못을 따지는 규제당국의 조사 방법을 살펴보자. 사고가 발생한 회사에 가서 개인정보보호책임자가 선임돼있는지 확인한다. 법규로 정한 최소한의 보안장치를 갖췄는지 확인한다.
그리고 개인정보 담당자의 근무일지를 확인한다. 일지가 누락돼있으면 '관리 소홀' 책임으로 과태료를 부과하고 꼬투리 잡을게 없으면 "기업은 의무를 다했다"고 판단한다. 기업에게 '최대의 노력'보다 '최소'만 할 것을 권하는 셈이다.
기업의 대표들은 카메라 앞에서 고개를 숙인다. 그리고 "2차 피해는 없다"고 단정해 말한다. 그들의 말은 "어떤 신용카드 부정사용 상황이 발생해도 이번 정보유출과는 무관하다"고 선을 긋는 것 같다. 범죄자를 잡아서 심문하지 않는 한 어떤 경로로 정보가 유출된건지는 알 수 없으니 말이다.
법원도 관련 소송에서 '개인정보 유출' 자체는 피해가 아니라는 판례를 만들었다. 2차 피해를 소비자가 입증할 방법이 없으니 소비자는 기업에게 손해배상 책임을 물을 수 없게 된다.
어리석은 외양간 주인은 소를 잃고 나서 외양간을 고친다. 문제는 남의 소를 맡아 보관하는 외양간 주인이다. 방법은 간단하다. 주인에게 몇 배로 배상하게 하면 외양간 주인이 잃기전에 먼저 외양간을 고친다.
규칙을 어긴 벌은 규칙을 어겨서 얻을 이익보다 무거워야 하지만 현실은 그렇지 않다. 계속해서 반복되는 개인정보 유출 사고는 시스템이 부추기고 있는 셈이다.
부정한 의도로 정보에 접근하는걸 차단하고, 혹시 유출됐더라도 사용이 불가능하게 암호화하는 등의 보안시스템을 갖추는데는 수억원에서 수십억원의 투자가 필요하다. 그러니 현재로서는 수천만원의 과태료와 고개 몇번 숙이는걸 택하는게 기업의 입장에서는 더 효율적인 보안인 셈이다.
