조선족 온라인 커뮤니티인 '연변창구'에는 하루에도 몇 건씩 한국의 사이트 회원정보(DB)를 팔겠다는 글이 올라온다. 본인을 '정팀장'이라고 소개한 한 접속자는 '대출DB'를 포함한 양질의 DB를 보유하고 있다며 네이트온, 라인 등의 접속 아이디를 남기고 있다. 돈만 내면 누구라도 어렵지 않게 특정 사이트의 DB를 구할 수 있는 불법 정보 유통 시장이 아직도 존재하는 셈이다.
1억건이 넘는 카드사 회원정보 유출 사태가 터진지 1년. 금융감독당국은 계열사에서 수집한 정보를 마케팅에 활용하는 것을 제한하는 금융지주회사법, 개인정보 보호를 강화한 전자금융거래법을 잇따라 개정하고 '신용정보의 이용과 보호에 관한 법률' 개정안을 국회에 제출했다. 또 금융권 마케팅전화를 일괄 차단하는 두낫콜(Do-not-call) 시스템을 도입하고 행정지도를 통해 금융회사를 관리하고 있다. 하지만 아직까지 스팸전화는 근절되지 않고 있다.
왜일까. 사태를 해결하겠다고 모두 발벗고 나서고 있는데도 상황이 바뀌지 않는 이유는 무엇일까.
작년 1월 8일, 검찰은 KB국민, NH농협, 롯데 등 카드 3사에서 약 1억400만건(중복 포함)이 넘는 개인정보가 유출됐다고 밝혔다. 박근혜 대통령과 반기문 UN사무총장 등 유명인들의 정보도 유출된 것으로 확인되면서 파문이 일었다.
검찰과 금융당국의 조사결과 당시 사건은 3개 카드사의 보안프로그램 설치를 맡은 신용정보(CB)사 직원 박모(40) 차장이 저지른 범행이었던 것으로 드러났다. 그는 카드사 마다 따로 구축돼 있던 보안 절차를 해제하고 자신의 USB(이동식 저장장치)에 수천만건씩의 개인정보를 수집해 불법 정보 유통시장에 내다 팔았다.
◆ 대책은 우후죽순 쏟아졌지만…
사건이 터진 뒤 대책이 쏟아졌다. 온갖 법이 개정됐고 금융위의 행정지도는 대폭 늘었다. 하지만 당시 당국의 대응책은 '아마추어 수준'에 가깝다는 비난을 받았다. 특히 일괄적으로 TM(통신영업)을 중지시킨 조치는 대출모집인들의 생계수단을 막아버렸다는 논란이 일었다. 비난이 일면서 금융감독당국은 정보 유출에 대한 책임을 해당 금융사에 물리도록 조치한 뒤 TM 영업을 개시하도록 했다.
이후로도 법은 계속 나왔지만 개인정보는 여전히 떠다니고 있고 스팸전화는 계속 울린다.
조선족 박향화씨는 "한국인들이 잘 모르는 특정 사이트엔 아직도 주민번호를 포함해 개인정보가 떠다니고 있다"고 말했다. 그는 "특히 휴대폰번호와 이름 정도는 돈을 들이지 않고도 얼마든지 구할 수 있고, 대출내역 등 금융정보는 돈만 주면 구해주겠다는 사람이 천지"라고 강조했다.
전문가들은 개인정보를 수집하려고 하는 기업의 행태가 여전히 바뀌지 않고 있어 개인정보 유출 및 스팸전화가 근절되지 않고 있다고 지적한다.
한 보안업체 관계자는 "지난 3월 주민번호 수집 금지 대책이 발표됐는데도 18%의 기업이 주민번호를 관행적으로 수집하는 것으로 확인된 바 있다"면서 "이외에도 각종 개인정보를 제공해야만 사이트 가입이 되는 곳이 많고, 특히 금융회사는 고객의 투자 성향을 파악해야 한다는 이유로 과도한 개인정보를 수집하고 있다"고 말했다.
◆ 보안전문가들 "개인정보 수집 제한 더 강화해야"
상황이 이렇다 보니 정부가 내놓은 대책도 약발을 받지 못하고 있다. 기업의 정보수집 자체를 제한하기 보다는 활용을 제한하는데 방점이 찍혀있기 때문에 한계가 있다는 지적이다.
대표적인 것이 지난해 11월 29일 시행된 금융지주회사법이다. 고객의 사전 동의 없이 계열사 보유정보를 제공받아 금융상품 판매 등 외부 영업에 이용하는 것을 제한한 조치다.
하지만 이 규제는 사실상 효과가 없다는 것이 보안 전문가들의 설명이다. 한 보안업체 관계자는 "고객의 사전 동의만 있으면 어차피 마케팅에 활용할 수 있는 구조"라며 "이제 다시 고객이 큰 거부감 없이 동의를 하고 있는 상황이어서 사실상 효과가 없는 법안"이라고 밝혔다. 또 다른 관계자는 "처음 가입할 때 '전체 동의'를 유도하는 행태 자체를 제재해야 한다"고 강조했다.
정보보호최고책임자(CISO)의 타 IT관련 직위 겸직을 제한하는 전자금융거래법(4월 16일 시행 예정)에 대해서도 실제 효과는 크지 않을 것이란 목소리가 높다. 한 보안 전문가는 "총 자산 2조원, 종업원수가 300명 이상인 금융회사나 전자금융업자를 대상으로 의무화하고 있는데, 그 정도 규모의 대형 업체는 이미 IT총괄책임자(CIO)와 CISO가 분리돼 있는 경우가 많다"고 말했다.
다만 전자금융 정보를 타인에게 누설하거나 업무상 목적 외로 사용한 자에게 10년 이상 징역 또는 1억원 이하의 벌금을 처하도록 신설된 처벌 조항(제49조1항)은 긍정적으로 평가됐다. 관련 업계 관계자들에게 경각심을 심어줄 것이기에 효과가 있을 것이라는 분석이다.