현재까지 개인정보는 전자인 보호적 관점이 지배한다. 각종 해킹 등 침해사고에서 1차적 탈취 대상이어서다. 해킹기술이 고도화됨에따라 고객의 개인정보 활용을 위임받은 기업의 관리책임도 폭증했다. 더욱이 주무부처인 개인정보보호위원회는 올들어 법까지 개정해가며 기업의 책임을 엄하게 묻고 있다. 올초 국회를 통과한 개정 개인정보보호법은 개인정보 침해사고를 일으킨 기업에 과징금 상한액을 위반행위 관련 매출의 3% 이하에서 전체 매출액의 3% 이하로 상향했다.
침해사고를 막기위한 매뉴얼이나 시스템을 철저히 점검해야하는 것은 당연하다. 하지만 사이버 공격의 예봉 역시 날카로워지는게 현실이다. 게다가 생성AI의 등장으로 인해 해킹기법은 새로운 차원으로 진화하고 있다. 자녀나 부모의 목소리, 심지어 얼굴까지 AI로 위조해 보이스피싱에 사용한다. 이메일을 통째 복제해 상대방을 속이는 것은 예사다. 기상천외한 수법들이 등장하면서 해킹당한 사실 조차 모르고 지나간 경우가 부지기수다. 어떻게 막아야할지, 어디까지가 충분한 보호 수준인지 가늠하기 어렵다는 볼멘소리가 나온다.
다만 LG유플러스건의 경우 유출경로나 시점이 명확하게 밝혀지지 않았다. 그동안 정보보호를 위해 자체 실시한 취약점 진단 보고서를 근거로 고객인증 시스템을 유출 경로로 추정했을 뿐이다. 유출경로를 알수 없으니 무슨 시스템이 취약했는지도 어떤 보호조치가 미비했는지 정확히 파악되지 않은 상태다. 앞서 유출경로가 불명확한 사건에서 과징금을 부과한 선례는 없었다. 그동안은 유출과 명백히 관련성이 있는 보호조치 위반만 처분사유로 판단했다. 회사는 탈취사고 이후 대국민 사과와 함께 1000억원 규모의 정보보호 투자계획을 포함한 전사적 차원의 재발방지 조치에 나섰다. 그럼에도 최근 처벌강화 분위기 속에 과징금 철퇴를 맞을까 전전긍긍한다.
개인정보위는 최근 민관협력형 자율규제와 마이데이터 활성화에 나섰다. 기업들의 자발적 보호조치에 기반한 개인정보 활용을 유도하는 포석이라는 점에서 긍정적이다. 다가올 데이터 경제 시대에 브레이크 만큼 중요한 것은 계도와 유연함이다.
이 시각 인기 뉴스
조성훈 정보미디어과학부장