최근 개인정보 유출 사고가 잇따라 발생하며 국민 불안이 커지고 있다. 롯데카드, SKT, KT 등 민간 기업에서 발생한 대규모 유출 사건은 단순한 기업의 관리 소홀을 넘어 사회적 문제로 번지고 있다. 문제는 개인정보 유출 사태가 민간 영역에 국한되지 않고 국가기관 및 공공기관에서도 빈번히 발생한다는 점이다. 국민이 국가와 기업을 믿고 맡긴 정보가 줄줄이 새고 있다.
국가기관 및 공공기관의 현실은 더욱 심각하다. 개인정보보호위원회에서 제출받은 자료에 따르면 2022년 65만건이던 국가기관에서의 개인정보 유출은 2023년 352만건, 지난해에는 391만건으로 최근 2년 사이 6배 가까이 급증했다. 그러나 상당수 국가기관과 공공기관의 개인정보 보호 전담 인력은 한두 명 수준이며, 관련 예산도 턱없이 부족했다. 개인정보 보호 업무를 겸직으로 처리하는 기관도 많았다. 방대한 개인정보를 취급하는 국가기관의 책무를 고려할 때 사실상 무방비 상태에 가깝다.
개인정보는 단순한 데이터가 아니다. 금융·의료·통신 등 생활 전반에 걸친 매우 민감한 정보다. 범죄에 악용될 경우 회복하기 어려운 피해를 초래한다. 실제로 유출된 개인정보는 버젓이 다크웹 사이트에서 판매되고 보이스피싱, 불법 대출에 악용돼 피해가 눈덩이처럼 불어난다. 피해자 개인이 책임을 떠안을 수밖에 없는 구조 속에서 정부의 무책임과 기업의 안이한 태도는 비판받아 마땅하다.
하지만 현행 국가 보안 체계는 부처와 기관마다 관리 책임이 분산돼 사고가 발생했을 때 신속한 대응이나 근본적 재발방지 대책을 이끌어내기 어렵다. 가령 민간이나 통신 분야는 한국인터넷진흥원(KISA) 및 과학기술정보통신부가, 금융 분야는 금융위원회 및 금융보안원, 공공 분야는 국가정보원이 관리하고 있다. 개인정보 유출 사고가 발생하면 경찰청, 과기부, 금융위 등 여러 기관이 각자 조사를 벌이지만 부처 간 책임이 분산되고 대응 체계는 파편화된다. 이러한 칸막이식 보안체계의 한계를 보완하고 공공·민간을 아우르는 개인정보 보호 정책 수립과 집행을 총괄할 수 있도록 2020년 8월 개인정보보호위원회가 정식으로 출범했지만 턱없이 부족한 조직과 예산 때문에 실질적 권한과 조사권은 여전히 제한적이다. 선제적이고 사전적인 기관이라기보다 후차적으로 개인정보 유출에 대한 책임과 과징금을 의결하는 기구로 전락했다.
때문에 국가 차원의 사이버 보안을 총괄 조정하는 범정부 컨트롤타워 구축이 절실하다. 통합적이고 체계적인 보안 거버넌스를 마련해 사고 발생 시 일원화된 지휘체계로 신속히 대응할 수 있어야 한다. 김민석 국무총리는 통신·금융사 해킹 사고 관련 긴급 점검회의에서 “유사한 해킹 사고가 발생하지 않도록 통신·금융권 정보보호 체계를 전면적으로 재정비하겠다”고 밝힌 바 있다.
담당 인력과 예산 확충도 필수적이다. 현재의 열악한 여건으로는 아무리 좋은 정책을 설계해도 현장에서 작동하기 어렵다. 업무를 전담할 전문 인력을 충분히 배치하고, 보안 시스템 업그레이드에 필요한 예산을 안정적으로 확보해야 한다. 동시에 사고 발생 시 피해구제 절차를 단순화하고, 피해자 지원을 실질적으로 강화해야 한다. 지금처럼 피해자가 복잡한 민사소송을 거치지 않고도 국가가 먼저 나서서 보호하는 체계를 갖추는 것이 바람직하다.
정부와 국회는 개인정보 유출을 단순한 사고가 아닌 구조적 위험으로 인식해야 한다. 민간 기업의 관리 책임을 강화하는 동시에 공공부문부터 모범을 보여야 한다. 각 기관이 제각각 움직이는 지금의 파편화된 체계를 벗어나 범정부적 컨트롤타워를 통해 총괄적·종합적 대응을 구축하는 것은 더 이상 미룰 수 없는 과제다. 개인정보 보호는 국민의 기본권을 수호하는 일이다. 더 늦기 전에 국가가 책임지고 나서야 한다.
이정문 더불어민주당 의원