13.01
18
백화점은 예상대로 2차 피해를 우려해 카드를 해지하거나 재발급을 받으려는 사람들로 인산인해를 이뤘다. 그런데 한쪽에서 ‘롯데카드(멤버스) 회원요청서’를 받고 있었다. 요청서를 작성하면 롯데카드 정지·해제·탈퇴가 모두 가능하다는 것. 이를 위해서는 복사된 종이에 이름과 휴대전화번호, 주민등록번호, 카드번호 등을 빠짐없이 기재해야 한다.
 |
| ▲사진 = 류승희 기자 |
복사된 종이에 주민등록번호와 카드번호를 적는 게 찜찜해 꼭 주민등록번호를 적어야 하냐고 직원에게 묻자 “본인 확인을 위해 필요하다”는 대답이 돌아왔다.
하지만 서류를 받는 누구도 본인인지 묻지 않았다. 그래서 다시 “대리인이 와서 주민등록번호를 적고 신청할 수도 있지 않냐”고 되묻자 “원래는 서류를 받을 때 주민등록증으로 일일이 본인여부를 확인해야 하는데, 지금은 너무 혼잡해서…”라며 말을 흐렸다. 그곳에서는 나이가 지긋한 어르신들이 주민등록증과 카드를 꺼내놓고 서류를 작성하고 있었다.
사실 고객정보를 보유한 기업들의 개인정보 유출 사건은 이번이 처음이 아니다. 2008년 온라인 쇼핑몰 옥션과 GS칼텍스에서, 3년 후인 2011년에는 온라인게임 ‘메이플 스토리’와 하나SK카드에서 개인정보 유출 사건이 있었다. 이들 개인정보 유출 사건이 해킹에 의한 것이냐, 개인이 한 것이냐의 차이만 있을 뿐 고객정보가 새 나간 건 동일하다.
고객정보가 유출된 후 기업들의 반응은 한결같이 똑같다. 대표이사가 고개를 숙여 사과하고, 사태가 진정되지 않으면 대표이사가 책임을 지고 사퇴한다. 이후 금융당국은 영업정지 등의 제재를 가한다.
그런데도 개인정보 유출 문제가 해결되지 않는 것은 왜일까. 가장 대표적인 이유로 기업들의 보안 상태를 지적하지만 그보다도 이름을 묻듯 아무렇지 않게 개인정보를 요구하는 사회 풍토가 가장 큰 문제로 지적된다.
 |
| ▲2012년 8월19일 발표된 ‘정보통신망법 개정안’이 6개월간의 계도기간을 거쳐 지난해 2월18일 시행됐다. 이로써 온라인으로 주민등록번호를 수집하는 일이 금지됐다. |
◆온라인 주민등록번호 수집 불법이지만…
기업들은 주로 온라인을 통해 고객 정보를 수집한다. 실제로 온라인 쇼핑몰을 통해 물건을 구매하려면 쇼핑몰 규모와 상관없이 주민등록번호를 기재하고, ‘개인정보 수집 및 이용에 대한 안내’에 동의를 한 후 회원가입을 해야 한다.
하지만 온라인 사이트에서 요구하는 개인정보는 불필요한 정보인 경우가 대부분이다. 정부의 2013년 통계에 따르면 국내 웹사이트 약 32만 곳 중 92.5%는 불필요하게 주민등록번호를 수집하는 것으로 나타났다. 공공기관이나 민간사업자는 본인 확인 등 단순 목적으로 주민등록번호를 요구하는 경우가 50%를 넘었다.
더 중요한 건 지난해 2월부터 온라인상으로 주민등록번호를 수집하는 게 불법이 됐다는 사실이다. 정부는 2011년 8월 ‘인터넷 상 개인정보보호 강화 방안’을 발표하고, 이듬해 8월19일 ▲주민등록번호 수집·이용제한 ▲개인정보 유효기간제 ▲개인정보 이용내역 통지제 ▲개인정보 누출통지 및 신고제 등을 골자로 한 ‘정보통신망법 개정안’을 내놓았다. 그리고 6개월간의 계도기간을 거친 후 2013년 2월18일 전면 시행됐다. 이로써 온라인상에서 주민등록번호를 수집하거나 이용하는 일이 전면 금지됐다.
아울러 기존 주민등록번호를 통한 본인 확인 대신 아이핀(i-Pin)이나 휴대폰번호, 공인인증서 등을 통해 확인하도록 했다.
정보통신위원회는 정보통신망법 개정안 시행과 동시에 하루 평균 방문자 수가 10만명이 넘는 웹사이트부터 실태 점검에 나설 것이라고 밝혔다. 그러나 시행 후 1년이 다 돼가지만 온라인 사이트를 이용하기 위해서는 여전히 주민등록번호를 기재하고 회원가입을 해야 한다.
홍범석 KT경제경영연구소 선임연구원은 “온라인 사이트를 가입할 때 주민등록번호를 넣지 않는 게 맞다”며 “하지만 웹사이트를 운영하는 기업이 너무 많다보니까 방통위에서 관리를 다 하지 못하고 있는 상황”이라고 설명했다. 이어 홍 선임연구원은 “방통위 업무계획을 살펴보면 대형사업자부터 시정을 하겠다고 나와 있는 것으로 볼 때 방통위가 노력을 안하는 것은 아니다”고 덧붙였다.
하지만 대기업이 운영하는 온라인 쇼핑몰 역시 여전히 회원가입 시 주민등록번호를 요구한다. 김경환 법률사무소 민후 변호사는 “온라인 사이트의 크기와 상관없이 현행법상 온라인상에서 주민등록번호를 수집하는 것은 불법”이라며 “인터넷사이트 운용사를 비롯해 주민등록번호를 수집한 기업들은 이미 보유하고 있는 회원들의 주민등록번호를 2년 안에 파기해야 한다”고 강조했다.
 |
| ▲뉴스1 정회성 기자 |
◆ 오프라인도 제재에 한계
올 8월부터는 ‘개인정보보호법 개정안’ 시행으로 오프라인에서도 주민등록번호 수집과 이용이 금지된다. 다만 정보주체나 제3자의 급박한 생명 및 신체, 재산상 이익 등을 위해 개인정보가 필요한 경우에는 요청할 수 있다.
따라서 8월 이후부터는 대형마트나 백화점 등 회원제로 운영되는 곳에서 고객정보를 수집하기 위해서는 주민등록번호 대신 아이핀이나 휴대전화 인증을 사용해야 한다. 또한 지금까지 수집한 개인정보 중 주민등록번호에 대한 부분을 2016년 8월까지 모두 삭제해야 한다.
하지만 앞서 시행한 온라인 주민등록번호 수집 금지가 제대로 지켜지지 않는 상황에서 오프라인에서의 개인정보 수집 금지가 얼마나 지켜질지 의문이다. 전문가들 역시 “온라인에서와 마찬가지로 개인정보를 수집하는 기관이 많아 방통위가 일일이 확인하고 제재를 가하기에는 인력부족 때문에 한계가 있다”고 진단했다.
이렇게 주민등록번호를 비롯한 개인정보 보호는 제도나 인력 문제로 더디게 진행되고 있지만 IT의 발달로 개인정보를 수집하는 일은 더욱 쉬워졌다. 정부가 개인정보 보호에 더욱 관심을 갖고 인력 충원 등을 통해 적극적으로 법을 시행해야 하는 이유도 여기에 있다.
홍범석 선임연구원은 “디지털시대에 개인정보는 항상 네티워크상에 존재하고 언제든지 검색되고 활용될 수 있어 프라이버시를 침해할 잠재성이 높다”면서 “더욱이 기업이나 정부가 축적한 데이터가 해킹을 통해 조작될 경우 엄청난 피해가 발생할 수 있기 때문에 개인정보는 더욱 강하게 보호받아야 한다”고 강조했다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제317호에 실린 기사입니다.