“개인정보 보호 국제·민관 협력…IT 수탁사 등 유출 ‘길목’ 차단을”

조성환 행정자치부 개인정보보호협력과장은 흔히 하는 말로 ‘촌놈’이다. 전북 무주에서 고등학교를 마쳤을 때는 학교 역사상 처음으로 서울에 있는 대학 합격자가 나왔다며 읍내에 현수막이 내걸렸다. 지방고시 3회로 공무원 생활을 시작한 조 과장은 전북을 탄소산업 중심지로 만드는 데 크게 이바지했다. 2년 전 행자부로 자리를 옮긴 그는 개인정보보호합동점검단 팀장, 개인정보보호과장을 거쳐 이번에 개인정보보호협력과라는 신설 부서를 맡았다. ‘촌놈’ 같은 우직함으로 개인정보보호 정책에서 새로운 영역을 개척해 나가는 조 과장한테서 개인정보보호정책의 과거와 현재, 미래를 들었다.





2년 전 개인정보보호 합동점검단을 맡으면서 개인정보 보호정책과 인연을 맺게 됐습니다. 대규모 개인정보유출 사고가 잇따르면서 정부에 대책을 촉구하는 목소리가 높아졌고 정부도 심각성을 인식하면서 점검단을 만들었습니다.

개인정보보호 정책은 최근 몇년 동안 상당한 변화와 발전을 경험하고 있는 중입니다. 당시엔 단속과 점검을 통한 대응에 초점을 맞췄지만 점차 예방과 제도정비, 민관협력과 국제협력으로 바뀌는 추세입니다.

●IT 수탁사만 6000여곳 달해

최근엔 조직개편도 있었습니다. 그전에는 개인정보보호과와 개인정보보호정책과 등 2개 부서에서 개인정보 관련 업무를 도맡아서 처리했지만 그것만으론 한계가 있다고 판단한 겁니다. 기존의 국장급 정보공유정책관을 개인정보보호정책관으로 개편하고 개인정보보호정책과와 개인정보보호안전과(기존 개인정보보호과)를 비롯해 정보기반보호과와 개인정보보호협력과 등 4개 부서로 구성했습니다.

현재 개인정보보호법 적용을 받는 민간 사업체는 380만곳 정도 됩니다. 개인정보보호 사각지대는 여전히 광범위한 게 현실입니다. 특히, 주변에서 흔히 볼 수 있는 의원, 미용실, 학원, 음식점, PC방 등 소규모 사업자들은 개인정보보호에 대한 인식이 부족한 곳이 많지만 정작 정부가 일일이 교육하고 점검하기엔 숫자가 너무 많습니다. 범정부 차원에서 합동점검단을 만들긴 했는데 처음엔 이걸 다 어떻게 해야 하나 막막한 심정이었습니다.

고민 끝에 찾아낸 해법은 6000여곳에 이르는 정보기술(IT) 수탁사라는 ‘길목’을 확실히 단속하자는 것이었습니다. 현장점검을 해보니 대부분 업체들이 홈페이지나 고객·매장 관리 전산 프로그램을 수탁사에 맡깁니다. 수탁사 한 곳이 평균 2000곳을 관리하기 때문에 수탁사 한 곳만 제대로 바꾸면 2000곳이 개인정보 관리를 개선하는 효과가 생깁니다. 그런 방식으로 연말까지 개인정보 관리를 점검하고 문제점을 개선할 사업체가 70만곳에 이릅니다.

지난 6일 유럽연합(EU) 최고법원인 유럽사법재판소가 내린 판결이 국제사회에 엄청난 파장을 일으킨 것을 기억하실 겁니다. 페이스북 등 미국 인터넷 기업들이 유럽 시민들의 사생활 권리를 침해하며 불법적으로 정보수집과 전송을 하고 있다며 오스트리아 대학생이 제기한 소송에서 유럽사법재판소는 EU와 미국 간 정보공유 협정이 EU 시민의 사생활 권리를 충분히 보호하지 못하기 때문에 무효라고 판결했습니다.

●개인정보보호협력과 신설 이유

EU와 미국은 지난 2000년 EU 시민의 개인정보를 미국으로 전송할 수 있도록 규정한 ‘세이프 하버’ 협정을 체결했지만 이번 판결로 개인정보보호를 강화한 후속조치가 불가피해졌습니다. 이는 개인정보 유출이 초래하는 심각한 정치·경제·사회적 위협에 대한 경각심이 갈수록 높아지는 세계적 추세를 반영합니다. 특히 국경을 넘나드는 개인정보 문제에 대응하려면 국제협력을 강화해야 합니다. 그것이 바로 이번에 개인정보보호협력과를 신설한 첫 번째 이유입니다.

국제협력뿐 아니라 국내 차원에서 민관협력 확대도 시급합니다. 민간업체 개인정보실태를 점검하면서 민관협력을 통한 개인정보보호가 큰 효과를 낼 수 있다는 사실을 실감했습니다. 380만곳에 이르는 개인정보처리업체의 개인정보 관리 실태를 정부가 일일이 점검하고 개선하는 것만으론 한계가 분명하기 때문입니다. 올해 실태점검을 하면서 이미 민간 협회·단체들과 협력해 자율점검을 실시하도록 한 경험도 있습니다.

일본 사례는 참고할 게 많습니다. 일본 개인정보보호법은 민간 협회·단체 중심의 개인정보보호 자율규제 활동을 활성화하기 위한 ‘인정개인정보보호 단체 지정제도’를 규정했습니다. 법 시행과 동시에 주요 업종의 민간 협회·단체에 자율규제 컨트롤타워 역할을 맡겨서 운영하고 있습니다.

현재 일본손해보험협회, 일본개인정보관리협회 등 42개 지정 단체가 자율규약 마련과 시행, 민원대응 등 다양한 활동을 하고 있습니다.

강국진 기자 betulo@seoul.co.kr