개인정보는 줄줄 새는데...행정력은 솜방망이

‘개인정보보호법’ 시행 4년, 유출된 개인정보 1억3000만명

정보통신 서비스업체 107곳 4년간 개인정보 9200만건 유출

“선제적이고 실효성 있는 행정조치와 규제 필요”

 

[보안뉴스 김태형] 최근 4년간 인터넷 게임과 방송, 전자결제 관련 정보통신 서비스 업체 107곳에서 최소 9200만건 이상의 개인정보가 유출된 것으로 드러났다. 이가운데 46개 기업은 유출 건수나 원인조차 파악 못해 피해규모는 더 클 것으로 추정되고 있다. 

국회 미래창조과학방송통신위원회 소속 새정치민주연합 우상호 의원은 방송통신위원회로부터 자료를 제출받아 분석한 결과 2011년 7월∼2015년 7월 방통위에 개인정보 유출사고가 신고된 정보통신 서비스 업체는 모두 107곳이었으며, 86개 업체에서 개인정보 9219만4023건이 유출된 것으로 확인됐다고 밝혔다. 이중 2011년 7월 홈페이지가 해킹된 SK커뮤니케이션즈가 3500만건으로 가장 많았고 게임 업체 넥슨코리아(1320만건)와 KT(1170만건)가 뒤를 이었다.

 

이에 우 의원은 “개인정보는 유출되는 순간 2차, 3차 피해가 우려되는 만큼 유출사고가 발생하면 실효성 있는 제재를 통해 유사한 사고가 발생하지 않도록 해야 한다”고 지적했다.

 

또 잇단 개인정보 유출사고로 개인정보보호법은 강화됐지만 개인정보 침해는 지속되고 있다. 지난 2011년 9월 개인정보보호법이 시행된 이후 무단으로 유출된 개인정보는 1억3000만명에 달하는 것으로 집계됐다.

 

국회 행정안전위원회 소속 신의진 새누리당 의원이 행정자치부에서 받은 ‘개인정보 유출현황’에 따르면 2011년부터 올해 6월까지 무단 유출된 개인정보는 모두 1억3024만명에 달한다. 연도별로 보면 2011년 1322만명, 2012년 1380만명, 2013년 239만명, 지난해 1억47만명으로 각각 집계됐다. 올해 상반기에도 35만명의 개인정보가 외부로 유출됐다.

 

그리고 개인정보는 사이버공격, 악성코드, 구글링 등 해킹으로 유출되거나 내부직원, 위탁업체 직원 등이 빼돌린 것으로 나타났으며 유출된 개인정보는 이름, 주소, 주민번호, 전화번호, 이메일, 계좌번호 등이고 일부는 개인신용등급, 병원진료기록, 장기기증항목도 유출된 것으로 조사됐다.

 

이와 같이 개인정보 유출사고가 끊이지 않는 것은 행정당국의 솜방망이 처벌에 기인한다. 정부는 개인정보 유출기관에 대해 시정조치, 과태료 200만~900만원 등으로 처분해왔다. 실제로 지난해 63만8000명의 개인정보를 유출했다 적발된 A업체의 경우 과징금 1500만원만 부과했다.

 

또한, 이처럼 개인정보의 수집·이용이 증가함에 따라 프라이버시 침해에 대한 불안감이 증대되고 있는 가운데 개인정보의 보호조치가 미흡하거나 관리·감독을 하지 않아 위법 소지가 있는 사이트에 대한 행정력은 뒷걸음만 치고 있는 것으로 드러났다.

 

▲ 최근 3년간 웹사이트 개인정보보호 모니터링 현황    (단위:개 / 자료출처:방송통신위원회, 한국인터넷진흥원(KISA)

 

이와 관련 새정치민주연합 장병완 국회의원의 국감자료에 따르면, 개인정보 취급 방침 고지사항이 미비하거나 온라인 회원가입 시 동의절차 등이 미흡해 개선대상으로 확인된 사이트가 2013년 3,023개에서 올 상반기에만 9,621개로 증가했다. 이처럼 개선 대상 사이트가 증가하고 있는 것은 방통위의 개선권고에도 개선을 이행하지 않은 전년도 대상 사이트가 포함됐기 때문으로 분석됐다.

 

한편, 웹사이트는 기본적으로 정보통신망법 규정에 따라 개인정보 보호조치를 취해야 하지만, 올해 상반기 개선대상으로 지정된 사이트 73.5%가 한국인터넷진흥원의 개선안내와 방통위의 권고에도 불구하고 개인정보 관리를 여전히 허술하게 하고 있는 것으로 밝혀졌다. 특히, 올해 상반기까지 개선권고를 이행하지 않은 사이트 중에는 국내 유명 온라인영상서비스 사이트를 비롯해 큰 규모의 사이트들도 다수 포함되어 있는 것으로 드러났다.

 

이에 대해 장병완 의원은 “개선을 하지 않은 사이트에 대해서는 방통위가 행정절차법에 따라 시정조치, 시정명령, 과태료 부과를 할 수 있지만, 2013년 이후 단 한건의 과태료 부과 및 시정명령도 하지 않아 개선 이행율이 2012년 70.1%에서 올해 상반기에만 26.5%로 크게 떨어졌다”고 지적했다.

 

장 의원은 “허술한 개인정보 관리가 매번 도마에 오르고 있어 국회도 관련법을 개정해 개인정보를 보호하고자 했지만 방통위의 제재가 솜방망이에 그치고 있다”고 답변했다.

 

 

▲ 개선대상 사이트 방통위 제재 현황(출처: 방송통신위원회)    *2014년 개선대상 사업자 6,279개 중 4,949개 웹사이트에 대해 방통위 개선 권고 공문 발송

 

장병완 의원은 “개인정보보호 관련법은 최소한의 장치이기에 반드시 행정력이 뒤따라야 하지만 전혀 미치지 못하고 있다”며 “개인정보 유출로 인한 사회적 손실과 개인의 피해를 막기 위한 방통위의 단호한 조치가 필요하다”고 강조했다.

 

특히, 대기업은 개인정보 유출 사실을 고객에게 알려주지 않고 과태료만 내면 되고 영세업체는 과태료를 피하기 위해 폐업신고를 하고, 다시 회사를 만들어 사업을 하고 있는 상황이다 보니, 개인정보 유출에 대한 강력한 처벌과 실태점검 강화 등의 관련 제도를 근본적으로 보완할 필요성이 제기되고 있다.

 

 

출처 : 보안뉴스 http://www.boannews.com/media/view.asp?idx=47785&kind=23

김태형 기자 boan@boannews.com