개인정보보호법 발효 1년, 예산 인력이 여전히 문제

[김국배기자] 개인정보보호법이 시행된지 1년이 됐지만 개인정보 보호는 아직도 미흡하다는 지적은 여전했다.

개인정보보호에 대한 관심이 늘어나는 등 짧은 기간 동안에 비교적 성과도 있었지만 아직까지 개인정보보보호에 대한 인식이나 법, 제도 등이 개선되고 자리잡기까지는 더 많은 시간과 노력이 필요하다는 게 개인정보보호 관련 전문가들의 공통된 분석이다.

지난 12일 한국정보화진흥원(NIA)이 서울 무교동 청사에서 진행된 '개인정보보호포럼 출범식'에서 개인정보보호 관련 전문가들은 개인정보 보호가 제대로 실현되려면 좀 더 많은 관심과 노력, 제도적 보완이 필요하다고 입을 모았다.

행정안전부 한순기 개인정보보호과장 "아직 가야할 길이 먼 것은 맞지만 지난 1년 새 개인정보보호법에 대한 인식을 제고시킨 면은 있다"며 "개인정보 자가진단 건수도 작년 8월 기준 1천469건에서 올해는 2만2천193건으로 늘어났다"고 말했다.

그는 "웹사이트에 개인정보 노출되는 건수도 지난 2009년 검색 대상 사이트 대비 실제 노출대상의 비율은 0.7%였으나 최근에는 0.05%로 다소 줄었다"고 덧붙였다.

◆예산과 인력 문제는 여전

이날 토론 자리에서 개인정보보호의 가장 큰 문제로 지적된 것은 예산과 인력 부족이었다.

한국교육학술정보원 장 익 본부장은 "정보 처리자의 입장에서 볼 때 학교나 교육청의 정보보호 최종 담당자들은 어떻게 개인정보를 관리해야 할 지 난감하다"며 "이러한 상황에서 담당자의 잦은 교체나 교육 운영 인력 부족 등의 문제로 어려움이 크다"고 설명했다.

또한 장 익 본부장은 "학교의 규모에 따라 시스템의 규모도 달라져 약 3천만원에서 3억원의 구축예산이 필요하나 국가 예산 자체가 한정돼 있다보니 현장에서는 그런 부분에 대한 애로사항이 계속 나오는 상황"이라고 전했다.

한재호 에이쓰리시큐리티 대표도 보안업계의 입장을 대변해 예산 문제를 꼬집었다. 한 대표는 "영향평가제도가 도입될 때 시장의 파급효과나 수요증가를 기대했으나 막상 별로 일어나지 않았다"며 "업계 입장에서는 민간시장에 비해 단가가 3분의 1 내지 2분의 1 밖에 되지 않는 공공시장에 집중하기는 어려운 상황"이라고 털어놨다.

그는 "예산의 경우 시스템의 규모는 제각각인데 일률적으로 3천만원으로 배정돼 있다"며 "규모가 큰 시스템은 영향평가에 있어서 더 많은 자원을 투입할 수 밖에 없는데 그런 부분에 대한 고려가 부족하다"고 말했다.

영향평가를 수행할 수 있는 인력양성이 필요하다는 의견도 나왔다. 금융기관의 IT 인력 중 5% 이상을 정보보안 인력으로 충원하라는 지침으로 기본 보안 컨설팅 업체의 인력들이 금융권으로 많이 유출됐다는 것.

한재호 대표는 "시장이 확대되도 컨설팅은 사람이 있어야 한다"며 "사람은 제품과 같이 공급탄력성이 뛰어나지 않기 때문에 시간이 걸리기 때문에 정부에서 인력양성에 힘써야 한다"고 말했다.

◆외부 감사 필요성 증대

개인정보 보호를 강화하기 위해서는 지금의 내부감사 뿐 아니라 외부감사도 늘릴 필요가 있다는 의견도 제기됐다.

김앤장의 이강신 전문위원은 "최근 KT의 경우에서도 드러나듯 내부감사는 굉장히 좋은 관점이고 개념이기는 하나 한계가 따른다"며 "앞으로는 내부감사 뿐 아니라 외부에서도 감시를 할 수 있는 기반을 만들어 나갈 필요가 있다"고 주장했다.

또 이강신 위원은 "새로운 소셜네트워크서비스(SNS)이나 모바일 환경으로 들어서면서 개인들이 자기정보를 통제하는 것이 굉장히 어려운 문제가 되고 있다"고 덧붙였다.

한재호 에이쓰리시큐리티 대표도 "보안사고가 법으로 규정한다고 다 막아진다고 보진 않는다"며 "외부에서 객관적으로 볼 수 있는 외부감사 단체들이 필요하지 않나 싶다"고 의견을 보탰다.

특히 한 대표는 "개인정보보호에 대한 인식이 지나치게 주민번호 위주로 가는 게 아닌가 하는 생각도 든다"며 "단순 신상정보를 넘어 프라이버시, 인간의 존엄성까지 시야를 넓혀 볼 필요도 있다"고 말했다.

◆개인정보 수집 최소화 필요…책임 지지 않는 관행 개선돼야

개인정보 수집의 최소화를 요구하는 목소리도 나왔다.여전히 온라인 쇼핑몰의 대부분이 주민등록번호를 필수로 입력해야 회원가입을 할 수 있는 등 거래관행들이 바뀌지 않고 있어서다.

한국소비자연맹의 강정화 팀장은 "개인정보보호법이 시행은 됐지만 개인정보 유출사고는 끊이지 않는 데서 보듯 개인정보를 취급하는 사람과 주는 사람 간의 법에 대한 괴리가 크다"며 "제일 중요한 것은 개인정보 수집 자체의 최소화"라고 강조했다.

한국교육과학기술원(KERIS) 장 익 본부장도 "하나의 기관이 너무 많은 개인정보를 한 곳에 보관해야 하는가에 대한 지적은 동의한다"고 말했다.

또 강 팀장은 "사업자들이 사회적 비난을 받는 것에 대한 부담은 갖고 있지만 경제적 부담은 없기 때문에 유출사고가 끊이지 않는 것"이라고 일침을 가했다. 개인정보유출사고에 대해 아직까지 확실하게 회사가 책임을 진 경우는 없다는 것.

이날 토론에서 사회를 맡은 임종인 고려대 정보보호대학원장은 "우리나라의 법 수준은 매우 높은 편"이라며 "사고가 생겼을 때 업체가 제대로 책임을 지지 않는 경우가 있는 만큼 법을 엄격하게 지켜 책임을 묻는 게 필요하다"고 정리했다.