[데이터 빅뱅]③정보보호 컨트롤타워 시급

[김상봉 교수 이데일리 이승현 기자] 데이터 산업 시대가 열리는 것은 정보의 보호와 활용 중 활용에 방점을 두는 사회적 합의가 도출됐다고 볼 수 있다. 그럼에도 개인정보 보호의 중요성은 결코 적지 않다.

데이터 산업은 개인이 자신에 대한 정보를 자신의 이익을 위해 먼저 사용할 수 있도록 주도권을 갖는 게 핵심이다. 마이데이터(My Data) 산업은 ‘데이터 자기결정권’을 기반으로 한다. 정보 주체는 이러한 데이터 자기결정권을 바탕으로 구체적으로 △데이터 이동권 △데이터 삭제권 △데이터 처리제한 및 거부권 등을 갖게 된다. 이 중 데이터 이동권은 정보 주체가 특정 데이터 관리자의 방해없이 데이터를 다른 관리자에게 이전할 수 있는 권리를 말한다.

‘데이터 3법’ 개정으로 도입되는 ‘신용정보 전송요구권’이 이 개념을 말한다. 데이터 삭제권은 잊힐 권리로서, 정보유출 위험을 낮추기 위해 기존 데이터 저장소의 정보를 없애는 것이다.

개인정보 보호의 글로벌 표준으로 꼽히는 유럽연합의 일반개인정보보호법(GDPR)은 이러한 권리들을 잘 보장하고 있다. 한국도 데이터 산업 시대를 맞아 데이터 이동권와 삭제권, 처리제한 및 거부권 등 자기결정권에 대해 제도적·실무적 요건을 갖춰야 한다는 지적이 나온다.

정보보호도 상당한 수준으로 향상시킬 필요가 있다. 2000년대 이전은 물론 그 이후에도 개인정보 유출은 끊임없이 이어지고 있다. 2010년 이전에는 주로 해킹 등 외부공격에 의해 정보유출이 발생했다면 2010년 이후에는 내부 직원이나 협력업체에 의한 정보유출 사건이 일어나고 있다.

행정안전부와 개인정보보호위원회가 발표한 ‘2019 개인정보보호 실태조사’를 보면, 공공기관 정보유출 사고의 주요 원인은 ‘내부직원 실수’(70.5%)와 ‘내부직원 고의’(14.9%)로 나타났다. ‘해킹·악성코드 등 외부 공격’(65.1%) 비율보다 높았다. 민간기업의 경우도 ‘내부직원 실수’(40.4%)와 ‘내부직원 고의’(19.2%)에 따른 정보유출 사례가 ‘해킹과 악성코드 등 외부공격’(55.6%)에 비해 많은 것으로 나타났다.

이에 대해선 사전적으로 데이터 산업 협회 등에 ‘정보보호 컨트롤 타워’를 만들 필요성이 제시된다. 또 정보활용 기업에서 유출사고가 발생할 경우 강하게 책임을 물을 필요가 있다. 이를 위해 금융회사 등의 개인신용정보 유출 등에 대한 징벌적 손해배상금은 손해액의 3배에서 5배로 강화됐다.

금융당국은 ‘정보보호 상시평가제도’를 도입해 금융회사-자율규제기구-금융감독원 등 3중 점검 체제를 구축하겠다는 방침이다.