[IT강국, 보안부터]②세월호 참사마저 악용..韓 고질병 '개인정보유출'

[이데일리 이유미 기자] 온 국민이 깊은 슬픔에 젖어 있지만, 세월호 참사를 악용한 스미싱(문자사기) 악성코드가 잇따라 출현해 분노를 더하고 있다. 비극적인 세월호 침몰사고와 관련 수백 명의 가족과 국민들이 비통함을 감추지 못하고 밤새 구조 작업을 안타깝게 지켜보고 있었지만, 사고 발생 하루 만인 17일 오전부터 20일까지 총 7건의 스미싱이 발생했다. 세월호 침몰사고 구조현황 동영상을 가장하거나 뉴스보도로 속이는 등 수법도 악의적이다.

세월호 참사를 악용한 스미싱

스미싱 문자에 포함된 인터넷주소(URL)를 클릭하면 스마트폰에 악성앱이 다운로드되고 설치된 악성앱을 통해 스마트폰에 저장된 전화번호, 이동통신사명, 문자메시지 등을 탈취한다.

국민적 슬픔마저 개인정보 탈취 기회로 사용하는 대한민국. ‘개인정보 유출’이 대한민국의 고질병이 된 게 아닌가. 개인정보는 더이상 ‘개인’ 정보가 아닌 이미 공개된정보라는 자조적인 얘기도 나온다.

지난 1월 KB국민카드, 농협카드, 롯데카드 등 3개 카드사와 국민은행 등에서 대량 개인정보가 유출되는 사고가 발생했다. 이에 후속 조치로 신제윤(오른쪽) 금융위원장이 지난 3월10일 오전 서울정부청사에서 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표하고 있다. (사진=이데일리 김정욱 기자)

산재된 개인정보보호법..어떻게 지켜야할지, 어떻게 보상받아야할지

지난해 안전행정부와 개인정보보호위원회 조사에 따르면 국내 기업 중 개인정보보호만 전담하는 부서를 설치한 곳은 1.3%에 불과하다. 별도 예산이 전혀 없는 곳은 95.5%다.

기업들은 개인정보 처리 절차가 복잡해 제대로 관리하기 어렵다(54.4%)고 답했다. 기업에서 고객의 정보를 제대로 관리하고 싶어도 법에서 요구하는 절차가 까다로와 지키기 어려운 것이다.

우리나라에는 개인정보보호와 관련된 각기 다른 법률이 ‘개인정보보호법’, ‘정보통신망법’, ‘신용정보보호법’, ‘전자금융거래법’ 등 4개다. 각각 규제 대상과 준수해야하는 기준도 다르다.

가령 금융회사가 개인정보를 유출할 경우 과징금이 없지만 정보통신사업자는 과징금을 부과받는다.

이렇게 산재된 법 때문에 기업들은 준수상의 혼란을 겪을 뿐 아니라 의도적인 회피 현상도 발생한다.

예컨대 지난해 7월 안전행정부에서 발간한 ‘금융분야 개인정보보호 가이드라인’에서는 금융기관도 주민등록번호 암호화 의무가 있다고 명시됐다. 하지만 금융당국 관계자는 이는 가이드라인에 불과해 지킬 필요가 없다고 말하며 금융회사들도 주민등록번호 암호화 의무가 없다고 주장했다. 이 부분은 최근의 카드사 고객정보 유출 사고가 발생한 이후 금융기관도 주민등록번호를 암호화하도록 개정됐다.

복잡한 법체계는 피해자들의 권리 구제도 어렵게 만든다.

김경환 법률사무소 민후 변호사는 “피해자가 보상을 받기 위해서는 개인정보보호화 관련된 여러가지 법을 직접 찾아서 적용하고 피해를 입은 관련성을 입증해야 하지만 일반인이 이 절차를 진행하기는 어렵다”고 말했다.

심우민 국회 입법조사처 조사관은 “이용자의 개인정보가 급속히 이용되고 있는 환경에서 똑같은 내 정보가 신용정보로 활용될 때는 A라는 법으로, 온라인 서비스에서 활용될 때는 B라는 법을 따르게 된다면, 이용자 입장에서 어떻게 법을 신뢰하고 이용할 수 있을지 의문”이라고 지적했다.