석호익 동북아공동체ICT포럼회장/한국디지털융합진흥원장
우리나라는 2011년 3월 개인정보보호법을 제정한 이래 개인정보 보호 강화를 위한 노력을 지속해 왔다. 2020년 1월에는 4차 산업혁명 시대를 맞아 이른바 '데이터 3법'으로 불리는 '개인정보보호법, 정보통신망법, 신용정보보호법' 동시 개정을 통해 개인정보 보호체계를 일원화했다. 그 결과 2021년 12월 EU GDPR 적정성 결정이 최종 통과돼 개인정보 보호 우수 국가로 인정받았다.
그러나 유감스럽게도 정말 우리나라는 개인정보가 안전하게 관리, 이용되고 있다고 생각하는 국민은 많지 않다. 현재까지도 개인정보 관리 소홀로 말미암은 사건 사고가 끊이지 않고 있다. 최근 개인정보 유출, 불법녹음・촬영, 직장 내 갑질, 학교폭력, 온라인 폭력, 가짜뉴스 유포, 디지털 성범죄, 메타버스 상 인격 침해 등 여러 종류의 인격적 침해가 다양하게 발생하고 있고, 이를 둘러싼 법적 분쟁이 증가하고 있다.
공공기관·단체 등 처리자의 과실로 인한 대량의 개인정보 유출사고는 물론 개인정보 취급자에 의한 개인정보 유출사고도 증가 추세에 있다. 유출된 개인정보는 2차 범죄에 악용되기도 해 국민의 불안을 가중시키고 있다. 개인정보 유출사고가 발생해 사회 문제가 되면 정보보호 교육 강화, 개인정보처리시스템 보안 강화, 개인정보 관리실태 점검 강화, 개인정보 유출행위 처벌 강화 등이 나왔지만 실효성이 없었다.
앞으로 개인정보를 기본적 인권 관점으로 접근하여 보호 활동을 수행해야 한다. 이미 헌법재판소 판례로 헌법 제10조와 제17조를 기반으로 사생활의 비밀과 자유에 대한 개인정보자기결정권을 인정하고 있고, 개인의 인격주체성을 특징짓는 사항으로 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 보호대상이라고 규정하고 있다.
아울러 데이터경제가 새로운 경제 성장과 변화 동력으로 대두되고 있다. 데이터는 미래 산업의 쌀로 비유되고 있다. 개인정보는 이러한 데이터의 핵심이다. 따라서 개인정보에 대한 안전성과 신뢰성이 확보되지 않은 상태에서 이룩되는 데이터경제는 사상누각에 불과하다. 개인정보가 보호되어야 데이터경제도 가능하다.
또한 개인정보침해는 정보통신기술 발전과 4차 산업혁명이 진전될수록 더욱 교묘해지고 다양하게 전게 될 가능성이 높다. 근본적인 침해방지를 위해 제도와 대책을 지속적으로 보완·강화해야 하지만 우선 현실적인 대책도 강구해야 한다.
먼저 개인정보 보호 전담 인력의 확충 및 전문성 강화와 예산의 확충이 필요하다. '2021 개인정보보호 실태조사'에 따르면 개인정보 보호 전담 인원이 절대 부족(공공기관 0.5명, 민간기업 0.0명)할 뿐만 아니라 업무 경력이 매우 짧아(공공기관 3년 미만 67.3%) 전문성을 확보하기가 곤란하다. 또한 개인정보 보호 예산 규모는 1억원 미만이 대다수(공공기관 82.6%, 민간기업 99.9%)이다. 이마저도 서비스사용료, 직원 교육비 등을 제외하면 제대로 된 보안솔루션 하나 도입하기 어려운 실정이다.
또한 개인정보 보호 전문 솔루션의 도입 및 활용 확대다. 인력과 예산 공백을 메우고 보안체계를 강화하기 위해서는 적합한 기능을 갖춘 보안솔루션을 도입해서 활용해야 한다. 개인정보접속기록 솔루션은 개인정보 유출사고를 예방하고 사고 발생 시 정확한 원인 규명 및 사후 추적 관리를 위해서는 필수 불가결한 솔루션이다. 솔루션 도입 시 모든 업무 내역을 누락 없이 접속기록을 생성하고, 이상행위 탐지 및 처리 기능이 우수한 제품을 선택하는 것이 중요하다.
개인정보 유출을 막을 수 있는 이중·삼중의 보호 장치도 필요하다. 개인정보 처리자, 개인정보 취급자, 정보 주체 등 다각적인 측면에서 개인정보 유출 징후를 상시 감시할 수 있도록 시스템을 보완해야 한다. 개인정보취급자가 개인정보취급자에 의한 유출사고도 증가 추세에 있어 이에 대한 대책이 시급하다.