반복되는 개인정보 유출, 관리기관 개보위 소극적 행정 도마 위

선관위 보안 취약 관련 개보위 "개인정보법 위반 여부 파악 예정"
개보위 포털·핀테크 감독 권한 없어, 근거 법령 필요성 대두
"디지털 경제 가속화로 개인정보 범위 재정의 시급"

2월 3일 한국인터넷진흥원을 방문한 고학수 개인정보보호위원회 위원장이 데이터 활용지원 방안을 논의하고 있다/사진=개인정보보호위원회

일부 국가 기관과 포털 사이트, 핀테크 등에서 개인정보 유출 우려가 높은 것으로 드러난 가운데 이를 제재해야 할 개인정보보호위원회(개보위)가 권한상 한계를 이유로 적극적인 대처에 나서지 않고 있다는 주장이 제기됐다.

19일 국회 정무위원회의 개인정보보호위원회 국정감사에서 김희곤 국민의힘 의원은 “최근 국가정보원이 중앙선거관리위원회를 보안 점검한 결과 개인정보 유출 위험이 있다는 게 드러났다”며 “이런 상황에서 개보위는 어떤 조치에 나서야 하냐”고 문제를 제기했다.

고학수 개보위원장 “업체 조사 한계 많아, 국회 논의 반가워”

문제로 지적된 선관위 보안 취약성에 대해 이날 고학수 개보위 위원장은 “해당 사안이 실제 개인정보법상 문제가 되는 상황인지 파악하고자 하는데, 어떤 방식으로 파악할 건지 내부 검토 중”이라고 답했다.

하지만 김 의원은 해당 사안에 대한 국정원의 발표 직후 개보위의 대처를 지적했다. 그는 “당시 개보위는 국정원이나 선관위 등의 요청이 있으면 대책에 나서겠다고 말했다”며 “개보위의 행태를 본 국민들이 과연 ‘내 개인정보는 안전하다’는 믿음을 가질 수 있을지 의문”이라고 꼬집었다. 이어 “개인정보와 관련한 모든 사항을 소관하는 기관인 만큼 철저한 관리를 당부한다”고 덧붙였다.

앞서 지난 7월부터 한국인터넷진흥원(KISA)과 함께 선관위 투·개표 관리 시스템에 대한 합동 보안점검을 진행해 온 국정원은 이달 10일 “선관위의 투·개표 시스템과 내부망 등에서 해킹 취약점이 다수 발견됐다”고 밝힌 바 있다. 국정원에 따르면 유권자 등록 현황과 투표 여부 등을 관리하는 선관위의 ‘통합 선거인 명부 시스템’은 인터넷을 통한 침투와 해킹이 손쉽게 가능했다.

김 의원은 개보위의 탁상행정에도 비판의 목소리를 냈다. 구체적 사례로는 개보위가 지난 6월 이용자 동의 없이 개인정보를 수집하고 민감정보를 처리한 세무 서비스 애플리케이션(앱) 삼쩜삼 운영사인 자비스앤빌런즈에 대해 세무조사를 하지 않은 것을 들었다. 자비스앤빌런즈는 이용자에게서 주민등록번호를 활용해 홈택스 로그인을 비롯해 소득 정보 수집, 세무대리인 수임 동의, 환급 신고 대행 등을 한 사실이 드러나 8억5,410만원의 과징금과 1,200만원의 과태료를 부과받았다.

김 의원은 “개보위는 자비스앤빌런즈의 행위가 중대한 위반행위라고 인정하면서도 더 강력한 행정 제재보다는 ‘신규 기업의 실수’라는 말과 함께 행정처분으로 조사를 종결했다”고 지적하며 “중대한 위반 행위라면 검찰 고발 등을 검토해야 하는데, 이렇게 행정제재로 사건을 종결하는 것은 옳지 않다”고 강조했다.

이용우 더불어민주당 의원도 의료 중개 플랫폼 ‘똑닥’을 언급하며 “해당 플랫폼은 이용자의 문진표, 병력, 가족력 등 구체적인 정보를 모으고 있는데, 개보위에는 핀테크 업체가 이런 식으로 정보를 수집하고 트랙레코드를 쌓았을 때 이를 다른 식으로 이용하지 않게 관리할 수 있는 거버넌스가 없다”고 말했다. 그러면서 “개보위는 신고가 들어오거나 사건이 발생하지 않는 이상 핀테크 업체를 감독한 법적 근거가 없다”며 “개인정보보호를 총괄하는 부처라면 그에 걸맞은 근거 법령이 필요하지 않겠냐”고 권한상의 한계를 지적했다.

개보위 측은 이같은 국회의 논의를 반기는 분위기다. 고 위원장은 “핀테크 업체를 조사하기 위해서는 다른 부처의 협조가 필요한 게 맞다”며 “의원들의 지적대로 제약이 있으니 국회에서 조금 더 논의를 해준다면 개보위의 의견도 적극적으로 개진하겠다”고 말했다.

은행도 포털도 ‘안전지대’ 없다

국민들의 개인정보 유출에 대한 우려는 지난해 마이데이터(본인신용정보관리업) 서비스 출시를 전후로 최고조에 달했다. 흩어진 개인 신용정보를 한곳에 모으고 재무 현황 및 소비 습관을 분석하는 등 개인 자산관리와 신용관리를 도와주는 마이데이터 시범 운영 과정에서 은행을 비롯한 금융권에서 개인정보 유출 사고가 잇따라 발생하면서다.

2021년 12월에는 하나은행, 하나카드, 하나금융투자 등이 함께 운영하는 마이데이터 서비스 ‘하나합’에서 일부 고객의 이름과 은행 계좌, IRP 계좌 등 금융정보가 불특정 다수의 다른 사용자에게 노출됐고, 같은 달 네이버파이낸셜에서도 이용자 100여 명의 은행, 증권, 카드 등 수집 정보 일부가 유출됐다. 당시 네이버파이낸셜은 즉각 사고를 수습하고 유출 당사자들에게 조치 완료를 알렸지만, 전체 이용자를 대상으로는 사고 내용에 대해 밝히지 않아 빈축을 샀다.

하지만 네이버는 이후 간편결제서비스 네이버페이를 통해 제공하는 실손 보험 청구 서비스에서도 개인정보 관리에 소홀한 것으로 드러났다. 이와 관련해 지난 12일 국회에서 열린 보건복지위원회 국정감사에서 서영석 민주당 의원은 “해당 서비스가 본인 확인 과정을 철저히 거치지 않아 중요 의료정보가 타인에게 노출될 수 있는 점을 방치했다”고 말하며 타인의 주민등록번호와 방문 의료 기관명만 있으면 진료 내역, 진료비, 영수증 등 의료 정보를 확인할 수 있다고 지적했다.

이에 대해 네이버 측은 “문제점에 대한 사전 인지가 부족했던 것이 맞으며, 해당 문제에 대한 지적을 받은 직후 내부 검토를 통해 시급한 1차 조치를 완료했다”고 말하며 “추가 조치를 진행할 방침”이라고 밝혔다.

물건값과 함께 정보 지불하는 시대, 개인정보의 개념은 어디까지?

문제는 일상의 많은 부분이 IT 기술로 대체되면서 개인정보 제공에 동의하지 않으면 이용할 수 없는 공공·민간 서비스가 점점 늘어나고 있다는 데 있다. 우리나라보다 빨리 ‘현금 없는 시대’를 앞당긴 중국이 좋은 예다. 중국은 2020년대 들어 음식점, 카페, 주차장 등 대부분의 소액결제에 QR코드를 스캔해 결제하도록 하고 있는데, 이 과정에서 소비자들이 휴대전화 번호를 비롯한 개인 정보 제공에 동의하지 않으면 해당 서비스를 이용할 수 없게 했다. 중국 국민들은 일상을 영위하기 위해 하루에도 몇 차례씩 개인정보를 내놓고 있는 셈이다.

이처럼 디지털 경제가 가속하며 개인의 민감한 정보가 무분별하게 수집·활용되고 있다는 지적도 끊이지 않고 있다. 지난해 3월 이정문 민주당 의원은 개인정보의 개념에 온라인상 활동 정보를 포함하는 개인정보보호법 일부개정법률안을 발의하며 “온택트 시대에 맞춰 온라인 접속, 검색, 구매 이력 같은 개인의 행태를 파악할 수 있는 활동 정보도 보호돼야 한다”며 “사회가 빠르게 변화하고 있는 만큼 그 과정에서 국민들 피해가 없도록 제도적 보완이 시급하다”고 말했다.