개인정보 유출 대책은 2% 부족하다

ⓒ 고성신문

이번 사태도 소비자가 정보 제공을 하지 않으면 가입이 되지 않는 시스템에 근본적 원인이 있다.
법령에는 필수정보와 선택정보로 나누고 선택정보는 동의를 반드시 얻어야 되고 선택정보의 경우에는 동의하지 않더라도 불이익을 주지 않는다고 되어 있지만 문제는 기업에서 이 규정을 지키지 않는다는데 있다.
이번 사건은 카드회사의 안이한 대책과 정책도 한 몫했다.
개인정보 대량 유출 사고가 발생한 KB국민카드, NH농협카드, 롯데카드 3사의 정보보호 IT 부문 예산이 지난해 대폭 줄어든 것으로 나타났다.
KB국민카드 정보보호 부문 예산 비율은 같은 기간 11.35%에서 8.12%로 크게 줄었고 롯데카드는 8.50%에서 7.48%로 하락했다.
현재 전자금융감독 규정상 정보보호 예산을 정보기술부문 예산의 7% 이상 반영하도록 하고 있는데 카드회사가 이러한 권고 규정을 형식적으로 인식하고 있고 강제성이 없다 보니 언제든지 재발 가능성이 있다.
정부가 ̒금융권 개인정보 보호 종합대책̓을 발표했다.
고객정보 유출 시 해당 회사에 대해 최고경영자(CEO) 해임 등 중징계를 내리고 막대한 과징금을 물리는 한편 신용등급 산정에 꼭 필요한 경우를 제외하고는 고객정보 수집 및 보관을 제한하겠다는 게 골자다.

종합대책은 동원 가능한 모든 내용이 백화점식으로 담고 있다.
이번 대책은 개인정보 유출을 사전에 예방하는 내용이기보다는 사후에 처벌을 강화하는 데 무게가 실렸다.
개인정보를 유출한 사람에 대한 형벌도 10년 이하 징역 또는 5억원 이하로 금융 관련법 최고 수준으로 상향된다. 과징금도 높이기로 했다. 불법 수집·유통된 개인 정보를 활용해 영업 활동을 한 금융사는 앞으로 관련 매출액의 1%까지 과징금을 부과하기로 했다. 만약 빼낸 정보를 직간접적으로 이용해 1조원의 매출을 올렸다면, 최대 100억원의 과징금을 매기겠다는 것이다. 과징금이 낮아서 이러한 사고가 발생한 것은 분명 아닐 것이다.
소비자가 입은 피해액을 넓게 적용시켜서 개인정보가 불법으로 유출된 경우는 회사가 천문학적인 보상을 통해서 최악의 경우는 회사가 문을 닫을 수 있는 지경까지 만들어야 한다.
미국의 초이스포인트사는 고작 14만명 유출된 사건에도 고객 배상금을 포함해 약 150억원을 부과 받았고, 일본 소프트뱅크는 해커에 의한 유출임에도 고객에게 약 400억원을 배상했다.
그런데 우리는 1억건 이상이 유출된 국가적 재난상태를 겪고 있으면서도 정보를 활용한 회사에는 관련매출의 1%, 활용을 안 한 회사에는 최대 100억을 부과한다고 한다. 정보를 이용해서 매출 1조원을 올릴 수 없음을 정부가 더 잘 알고 있다.
이러한 땜질식 대책이 결국은 사고 재발의 원인이 된다는 사실을 알아야 한다. 불필요한 개인정보를 원천적으로 수집을 하지 못하게 하는 방법이 최선의 대책인데 아직도 기업 편의 방식에서 벗어나지 못하고 있으니 안타깝다.