요즘 IT 현업에서는 개인정보보호법상의 의무조치를 준수하기 위한 작업이 한창이다. 개인정보의 유출을 방지하고 개인정보의 수집, 보유 및 파기 절차를 마련해야 한다. 특히 주민등록번호의 수집과 이용이 제한되며 회원 인증 과정에서 보안절차 수립 여부는 단속대상이기도 하다.

하지만 업체들은 효과적인 보안절차 수립 방법을 알지 못해 혼란을 겪고 있다. 수집해 놓은 주민등록번호를 어떻게 처리해야 하는지, 어떤 대체 인증 절차를 도입해야 하는지 쉽게 판단하지 못하고 있다. 보안 컨설팅을 하는 업체들은 위험을 과장하며 과도한 솔루션을 제한하고 있어 말썽이 이는 경우도 있다. 정부는 개인정보보호법 시행 후 계도기간도 끝나 단속을 예고하고 있고 여기에 제한적 본인확인제(인터넷실명제) 폐지 이슈까지 발생함으로써 업체들은 갈피를 못 잡고 있는 형편이다.

지난 8월 헌법재판소는 인터넷실명제가 위헌이라고 판결했다. 하지만 방송통신위원회는 “인터넷실명제의 강제적 의무화를 위헌으로 판단한 것”이라고 해석하고 있다.

인터넷 업체들이 자율적으로 회원들에게 실명을 요구할지 여부를 정하는 것은 위법이 아니라는 것이다. 이로 인해 인터넷실명제는 앞으로도 계속될 가능성이 크다.

현재와 같이 여기저기 개인정보가 널려 있는 상황에서는 아무리 노력하더라도 보안에 구멍이 나기 마련이다. 실명제로 인해 한국 사이트에 글 한 줄 쓰려고 해도 주민등록번호, 주소, 전화번호 등을 모두 알려주어야 하기 때문이다.

인터넷 업체가 개인정보를 지킬 수 있는 최선의 방법은 아예 개인정보를 가지지 않는 것이다. 일반적인 사이트는 사용자 아이디와 비밀번호만 있으면 충분하다. 금융거래나 쇼핑몰 등 인증이 필요한 경우 개인정보를 가지고 있는 사이트를 통해 인증을 거치면 된다.

아무리 군사가 많아도 전선이 넓으면 전쟁에서 이기기 힘든 것처럼 인터넷 사이트 어디라도 개인정보를 요구할 수 있는 상황에서는 개인정보 보호가 이루어질 리 없다. 실명제가 위헌판결을 받은 만큼 이 기회에 개인정보를 지정된 일부 사이트에서만 관리하도록 하고 여기를 철옹성처럼 지키는 것이 최선의 방법이라고 생각된다.

개인정보를 안전하게 관리하기 위해서는 우선 외부의 공격으로부터 컴퓨터를 보호해야 한다. 이를 위해서 회사 전체에 방화벽을 설치하여 해킹을 막고 업무용 컴퓨터에 백신 등 보안 소프트웨어를 깔아 바이러스, 악성 코드, 스파이웨어가 개인정보를 유출시키는 것을 막아야 한다.

문제는 이런 방법으로는 직원들이 직접 유출시키는 것을 막기 힘들다는 데 있다. 보안의식이 없는 직원들이 공개된 게시판에 정보 파일을 올려놓을 수도 있다. 의도적인 유출도 가능하다. 때문에 기업들은 ‘내부정보 유출방지’ 솔루션을 앞다투어 도입하고 있다.

내부정보 유출방지 솔루션은 직원들이 회사의 업무와 관련된 기밀을 외부에 유출할 수 없도록 하는 것이다. 업무용 컴퓨터에서 어떤 데이터를 전송하는지 감시할 뿐만 아니라 데이터를 복제할 수 있는 USB 사용을 금지하며 심지어 무엇을 프린트하는지도 추적한다.

유출방지 소프트웨어는 직원이 주고받는 데이터에 ‘신제품 도면’, ‘주민등록번호’ 등 민감한 키워드가 들어 있지 않은지 실시간으로 감시한다. 만약 이런 단어가 포함된 데이터가 있다면 해당 직원을 호출하는 등 합법적 절차를 통해 내용을 확인하고 그에 따른 적절한 대처를 하게 된다.

유출방지 정책을 쓰는 경우 업무용 컴퓨터에서 사적인 데이터 취급은 금지된다. 개인용 메일을 주고받는 것이 금지되며 외부 웹 메일 사이트도 사용할 수 없다. 업무용이 아닌 사적인 메신저 프로그램은 아예 실행이 되지 않으며 허용되지 않은 웹 사이트는 접속이 차단된다. 기업의 연구소에서 신기술 유출을 방지하기 위해 내부정보 유출방지 기법을 사용한다면 이를 비판하기는 어려울 것이다.

하지만 현재 많은 기업이 영업 부서 등 회사 기밀을 취급한다고 보기 어려운 곳에까지 유출방지 기법을 적용하고 있다. 개인정보보호법이 이런 경향을 부추기고 있기 때문이다.

개인정보 유출이 발생했을 때 책임소재를 밝히지 못하면 기업 측이 처벌을 받을 수 있다는 이유로 내부정보 유출방지 기법을 넘어 사용자 감시 수준의 보안정책을 채택하고 있다.

유출이 확인된 후 사후감사를 통해 유출자를 찾아내려면 자료를 확보할 필요가 있으므로 아예 직원들이 취급하는 데이터를 복제해 놓기 위한 것이다.

이런 정책이 시행되면 업무용 컴퓨터에서 전송되는 모든 데이터는 회사의 서버로 복사되어 따로 저장된다. 개인적인 메신저의 대화내용과 이메일 내용까지 모두 회사가 가져간다. 한마디로 회사는 직원들의 모든 것을 들여다볼 수 있게 되는 것이다.

문제는 이런 프로그램들이 개인정보보호법을 위반하는 경우가 많다는 점이다. 회사는 사용자 감시 프로그램을 설치했다는 사실을 고지하지 않는다. 프로그램은 숨김 기능이 활성화되어 사용자가 이 프로그램의 존재를 알 수 없다.

사용자는 어떤 데이터가 서버로 전송되는지 알 수 없다. 서버의 개인데이터 관리에 대한 보안절차도 확립되어 있지 않다. 누가 언제 이 데이터를 얼마나 들여다보았는지 기록되지도 않는다. 관리자가 수시로 검열하므로 민감한 개인정보가 그대로 노출될 위험이 있다.

실명제로 인해 개인정보 유출이 일반화되었고 이를 막기 위해 개인정보보호법이 강화되었지만 기업들은 이를 악용하여 직원 감시에 나서고 있다. 인터넷을 지키기 위한 각종 법들이 오히려 인터넷에 혼란을 주고 있는 것이다. 정부 관계자들은 하루빨리 업계의 현실을 직시하고 최선의 대책을 강구해야 할 것으로 판단된다.

글·김인성 (IT칼럼니스트)