각국 정부, 정보 유출과 전쟁…세계 곳곳 사고_축구 우승자가 돈을 벌다_krvip

각국 정부, 정보 유출과 전쟁…세계 곳곳 사고_베토 록펠러 배우_krvip



최근 1억여건의 카드사 고객 정보 유출로 나라 전체가 시끄럽다.

이번 사고를 계기로 개인정보 불법 유통에 대한 국민의 불만까지 쏟아지면서 개인정보 보호 대책 마련을 요구하는 목소리가 크다.

세계적인 IT 선진국이면서도 개인 정보 관리에는 미흡했던 점을 고려하면 이번 사고가 본격적인 디지털 시대를 대비하는 좋은 기회가 될 수도 있다는 의견도 많다.

◇선진국 개인정보보호 전담기구서 총괄 규제

6일 금융당국에 따르면 영국, 프랑스, 독일, 홍콩 등 선진국은 개인정보 보호를 위해 공공 및 민간 모두를 대상으로 하는 포괄적인 법률을 제정했다.

또 개인정보보호를 전담하는 기구가 별도로 설치돼 법규 제·개정 뿐만 아니라 개인정보정책의 집행 및 제재 업무까지 수행한다. 그러나 일본과 한국은 포괄법인 개인정보보호법은 있으나 전담기구 없이 정부 각 부처가 정보보호 관련 업무를 수행하고 있다.

미국의 경우 공공·민간을 포괄하는 정보보호법은 없으며, 연방거래위원회(FTC) 등이 관련 업무를 집행한다.

영국, 독일 등은 유출기관의 정보관리자에게 입증 책임을 부과한다.

독일의 경우 공공기관은 과실 여부와 상관없이 피해보상 책임이 있다. 다만, 보상총액은 13만유로로 제한했다.

다른 국가는 개인정보보호법상 손해배상책임에 대해 규정하지 않고 피해자가 민법상의 손해배상 요구 시 입증 책임을 지도록 하고 있다.

미국 FTC는 고객이 개인정보 유출로 인한 피해 우려 시 신용평가사에 '초기 사기경보'를 신청할 수 있도록 했다. 사기 경보를 신청하면 신용조회시 신분도용 등에 대한 '주의'가 표시돼 계좌 개설, 대출 등에 신중을 기하게 되며 한번 신청하면 90일간 유효하다.

필요하면 사기경보 신청을 최대 7년까지 연장할 수 있다. 금융사에 신원 도용 사실을 미리 신고하면 현금 인출, 위조 카드 사용에 대해 전액 보상받을 수 있다.

◇미국도 기업 정보 유출 심각…대형마트까지

2007년 1월 미국에서 2천개 이상 점포를 보유한 소매유통업체 TJX Companies 그룹 산하 계열사에서 4천570만건의 고객정보가 유출되는 사고가 발생했다. 2005~20006년 해커가 TJ Maxx 등의 컴퓨터시스템에 침입해 구매·환불 고객의 정보를 지속적으로 유출했으나 회사가 인지를 못하다 2007년 1월 이상거래를 감지한 신용카드사에 의해 처음 발견됐다.

TJ Maxx는 곧바로 고객정보 유출사실을 일반에 공개하고 고객에게 3년간 크레딧모니터링 서비스(신용도 변경 알림 서비스) 및 신분도용 보험을 제공했다. 피해 고객의 카드 교체작업을 진행하고 고객 집단 소송에 4천90만달러를 물어줬다.

미 대형마트 Target에서 지난해 11월 27일부터 12월 15일에 매장을 방문한 고객의 정보가 대량 유출되는 사고가 일어났다. 매장에 설치된 포스단말기가 해킹돼 신용카드 정보가 외부로 유출됐다. 고객의 개인정보 7천만건과 카드 정보 4천만건이 빠져나갔다.

Targe은 해킹 사실을 인지한 지난해 12월 19일에 페이스북 등을 통해 고객정보 유출 사실을 일반에 공개했다. 이번 사고와 관련 있는 자사 고객에 대해 카드교체를 지원하고 매장에서 직불카드 1일 사용한도를 1천달러에서 300달러로 제한했다. 피해 고객에 대해 1년간 크레딧모니터링 서비스 및 명의도용 방지 프로그램 무료 제공했다.

2011년 6월에는 미국 씨티카드 시스템에 해커가 침입, 36만건의 고객정보가 유출돼 고객 3천400명이 270만달러의 손해를 입었다. 씨티카드는 10만명의 회원에게 카드를 재발급했다.

◇개인정보보호 전담 관리에 통제 강화해야

금융당국은 최근 해외 사례 조사를 통해 우리나라의 경우 주민등록번호를 통한 개인정보 집약 및 연계 활용, 대출·카드모집인 제도 등으로 유출 유인이 크다는 판단을 내렸다.

다른 나라의 경우 주민번호 등의 개인식별번호 제도가 없다. 미국의 경우 사회보장번호는 필요 시 3개월마다 변경 가능하며, 용도에 따라 개인 정보가 분산돼 다른 정보와 결합하기 어려워 2차 피해가 제한적이다.

해킹 등 외부 공격과 함께 직원, 용역업체 등 내부인에 의한 유출 사고가 빈번해 IT 보안만으로도 한계라는 분석이다.

기술적인 IT 보안 강화는 인증 방식 추가에 따른 비용이 급증함에도 내부자 유출이나 실시간 자금 이체 등 근본적인 위험 요인에 대응하는 데는 한계가 있다.

최근에는 일부 IT 용역 및 보안업체가 시장을 독점하면서 보안시스템이 유사해져 한 번에 여러 회사에서 개인 정보가 대량으로 유출되는 경향까지 보이고 있다.

정보 보호와 관련해 심의·의결, 집행·분쟁 처리 등이 여러 기관으로 분리돼 IT 발전을 따라가는 효과적인 정책 대응이 어려운 게 현실이다.

금융당국 관계자는 "개인정보 수집 최소화와 더불어 IT 전문 인력 육성 및 정규직 채용을 위한 범정부 대응이 필요하다"면서 "유럽과 같은 개인정보보호 전담기구 설립도 시급하다"고 지적했다.