2016년 12월 17일 토요일

1,000만 명의 개인정보는 얼마일까? 인터파크의 과징금 불복 논란


미국 야후가 최근 10억 명에 이르는 사용자들의 이름과 이메일 주소 및 전화번호와 패스워드 및 보안 질문과 담변까지 유출되면서 상대적으로 인터파크의 1,000만 명 개인정보 유출이 다소 작은 일처럼 비춰지지만, 한국 내에서 일어난 사건이라는 점에서 인터파크의 개인정보 유출 역시 무시할 수 없을 정도로 심각한 사안이다.


무엇보다, 사용자들의 민감한 개인정보가
허술하게 관리된다는 점에서 이러한 정보 유출 회사에 대한 징벌적인 처벌은 더욱 중요한 시점인 상황에서, 최근 ‘최대 1억원 보상에서 매출액의 3%까지 부과’하도록 개정된 법안을 통해 인터파크에 대한 44억 8,000만원이라는 과징금이 도마 위에 올라 있다.

소비자들은 이 금액도 작다며 반발하고 있지만, 정작 문제의 당사자인 인터파크는 과도하다며 법적 대응을 준비중이라고 한다.



그렇다면 고민해보자. 우리의 개인정보는 얼마나 가치가 있는 것일까?

그러니까, 나를 전혀 모르는 사람이 나의 이름이나 주소 및 아이디를 비롯한 수많은 정보를 마음대로 들여다볼 수 있는 것이다. 내가 로그인을 해야만 볼 수 있는 나만의 정보를 다른 누군가가 마음껏 들여다 보고는 다른 곳에서도 부정한 방법들로 악용할 수 있는 것.




누군가는 이미 우리의 개인정보가 수차례 유출되면서 인터파크가 아니라 하더라도 개인정보의 가치가 떨어질대로 떨어졌고, 통계상으로 보자면 대한민국 전국민의 개인정보가 무려 3번씩 유출되었다고 할 정도로 생각보다 개인정보의 유출은 자주 이어져 왔던 일이다. 그럼에도 인터파크는 이러한 과징금이 과도하다며 생색을 내는 상황.

이러한 문제를 어떻게 봐야 할까?



1,000만 명의 개인정보가 지닌 가치, 44억 8,000만원?
44억 8,000만원을 1,000만 명에게 고루 나눠준다면 얼마일까?

놀랍게도, 448원에 불과하다.
즉, 우리의 개인정보의 가치는 겨우 500원도 되지 않는 것이다. 500원 동전 하나를 내면 우리의 개인정보도 가질 수 있고, 잔돈도 남겨줄 수 있는 정도의 가치가 바로 우리 개개인의 개인정보가 지닌 가치라는 것. 


물론, 과징금을 개인정보의 가치와 1:1로 비교할 수는 없겠지만, 분명 충격적인 액수임에는 틀림이 없다.


이 문제를 아주 작게 바라보자.

우리가 면접을 봤는데, 면접을 위해 제출한 이력서가 나도 모르는 곳에 유출되어서 돌아다니고 있다면? 내가 오랫동안 일한 회사에서 나에 대한 평가와 나에 대한 정보들을 다른 기업에게 건네주고 그 결과 나의 직업 이전에 불이익이 있다면?

누군가가 우리집의 비밀번호를 문자를 통해 퍼트리고 있다면? 분명 말도 안되는 일이고, 소송감일지 모른다.

하지만 인터넷에서는 너무나 관대해지는 것이 현실이다. 


   


인터넷으로 보자면, 우리의 아이디와 비밀번호는 우리집 현관의 비밀번호와 동일하다. 아니 오히려 더 심각한 문제일지 모른다. 누군가가 나도 모르게 나의 행세를 할 수도 있는 것이고, 심지어 은행을 속이고는 나도 몰래 대출을 받거나 통장 잔고를 0원으로 만드는 것도 얼마든지 가능한 스토리다.

이미 숫자 4개만 입력해도 결제가 가능한 간편 결제가 대중화된 세상에서, 개인정보가 유출된다는 것은 그 자체로 금융정보가 유출된다는 것과 같은 의미이며, 그런 점에서 거듭된 개인정보를 취합하면 나보다도 나를 더 잘 아는 사람이 나올 수도 있게 된다.

그래서 개인정보 유출은 매우 심각하게 다뤄야 한다. 그것도 1,000만 명이나 되는 사람들의 정보라면 더욱 더.



부족해 보이는 과징금, 인터파크의 변명은?
개인정보가 유출된 피해자인 1,000만 명의 소비자 입장에서는 개인별로 보자면 448원에 불과한 과징금이 부족해도 매우 부족해 보인다.

어쩌면 수많은 사이트의 아이디와 비밀번호를 완전히 바꿔야 할지도 모르며, 다른 곳에서 유출된 개인정보와 더해지며 나도 모르는 금융사고나 안전 사고가 발생할 수도 있기 때문이다. 그럼에도 인터파크는 이러한 과징금 처분에 대해 ‘발끈’하고 있다.

왜일까?

인터파크는 왜 다른 대기업들에 대해서는 솜방망이 처벌을 하면서, 상대적으로 작은 기업인 자신들에 대해서는 칼자루를 휘두르냐는 논리를 펼치고 있다. 



   


최근에 개정된 법안을 통해 매출액의 최대 3%까지 부과할 수 있는 법을 근거로 너무나 막대한 과징금을 내렸다며 인터파크의 개인정보 유출은 다른 대기업의 유출 사고와 달리 주민번호를 포함한 민감한 정보는 제외되었다는 이야기를 했다.

무엇보다, 북한의 소행이라는 추정을 제외하자면 개인정보 보호 조치 의무를 일부 위반했다는 사실과 이번 개인정보 유출 사이에서의 인과 관계도 증명되지 않았다는 논리를 폈는데, 이것을 쉽게 풀어 쓰자면 이런 이야기다.

나는 집의 모든 문과 창문을 잠그지는 않았지만 도둑이 정말 열려 있었던 창문이나 문으로 들어왔는지에 대한 증거가 없으니 나는 문제가 아니고, 침입한 도둑이 문제라는 것.



억지 주장이다.

과징금 규모는 지금보다 더 커져야 하고, 인터파크가 위반한 법률적인 조항만 보더라도 이번 과징금은 최소한의 기준을 겨우 넘는 수준임을 알 수 있다.

인터파크는 개인정보를 처리하는 시스템에 대해 최대 접속시간 제한 조치를 하지 않았으며, 망분리 방식이 취약했고, 백업파일의 분리 보관은 부실했으며, 원격 데스크톱 공유설정을 비롯해 다양한 장치 및 데이터베이스에 설정된 비밀번호를 암호화하지 않는 등 곳곳에서 문제가 발견 되었다.



문제는 이것으로 그치지 않았는데, 개인정보가 유출되었다는 사실을 인지했음에도 경찰에만 신고했을 뿐, 가장 중요한 사용자들에 대한 고지를 늦게 하면서 문제를 키우고 자신들의 영업이 정상적으로 유지되기 위한 시간을 벌었던 것이다.

결국, 이미 법이 개정된 상황에서 법 개정 이전의 사례를 기준으로 불만을 제기하는 것은 사회 체계 자체를 인정하지 않겠다는 것일지도 모를 일이다.



해외는 징벌적 처벌 대상, 한국은 솜방망이 처벌?
개인정보 유출 관련 법안이 개정되기 이전, 최대 1억원에 불과한 과징금을 징수했다는 사실이 더욱 큰 충격을 던져주는 개인정보 유출 문제 및 처벌은 이번 개정을 통해 매출액의 최대 3%까지 부과할 수 있도록 하면서 그나마 구색이라도 갖추게 되었다.

그러나, 여전히 부족하다.



우리의 개인정보를 요구한 기업이 문제이지 소비자들은 결코 우리의 개인정보를 이렇게나 제공할 마음이 없었기 때문이다. 미국의 경우 개인정보를 과도하게 모을 수도 없기 때문에 웹사이트에 가입하기 위해 주민번호를 입력할 필요도 없고, 주소와 같은 민감한 정보 역시 쇼핑몰에서와 같이 어쩔 수 없이 필요한 경우에만 입력하도록 되어 있다.



미국의 결제 시스템은 또 어떠한가?
카드 한 장이면 결제는 아주 쉽게 끝낼 수 있다. 카드 번호와 유효 기간, CVC 번호만으로도 간편 결제가 가능하며 그마저도 귀찮았는지 원터치 결제 기능까지 도입하며 간편 결제가 대중화된지 오래이다. 심지어 이러한 간편 결제는 옆나라 중국에서도 이미 일상이 된지 오래.

그러나 한국의 웹 환경을 생각해보자.

당장 정부에서 주재하는 ‘연말 정산’만 떠올려봐도 머리가 지끈거릴 정도이니 개별 기업이라고 별 수가 있을까.



애초에 잘못되고 폐쇄된 정책이 문제였고, 과도한 개인정보 수집이 문제였으며, 제도가 마련되지 않은 탓이 크며 그러한 제도 뒤에 숨어서 개인정보 보안에 허술했던 기업의 탓이 크다.

그럼에도 각종 실수와 잘못을 연발한 인터파크는 생색내기에 여념이 없다. 잘못은 했으나 벌금이 과도하니 줄이고 싶은 마음 자체는 이해를 한다.

그러나, 스스로의 잘못이 얼마나 큰지에 대해서 일말의 반성도 없는 태도는 나쁘다. 그것도 아주 많이. - MACGUYVER.









0 개의 댓글: