[공공기관 개인정보 과다보유]개인정보 유출 막으려면

英-獨은 독립기구가 기관들 정보관리 감독

서울지방병무청 8급 직원인 K 씨는 2008년 인터넷 정치토론방에서 누리꾼들과 군대에 대한 이야기를 나누다 ‘정치인 J 씨의 군번을 알아봐 줄 수 없느냐’는 부탁을 받았다. A 씨는 내부 업무전산망에 접속해 J 씨의 군번을 알아낸 뒤 이름과 나이, 학력 같은 개인정보를 공개했다. 이 같은 사실이 뒤늦게 적발됐으나 그는 내부적으로 가벼운 징계와 벌금 30만 원의 ‘솜방망이’ 처벌을 받는 데 그쳤다.

국가기관이 관리하는 방대한 양의 개인정보가 이처럼 직원에 의해 유출되는 경우가 적지 않다. 그렇지만 대부분 경징계를 받고 있다.

해킹에 의한 정보유출을 막으려면 각 기관의 인터넷망과 (내부)업무망을 분리하는 것이 시급하다. 그러나 지난해까지 445개 중앙행정기관 중 망 분리를 한 곳은 95개(20.1%)에 그쳤다.

웹사이트를 통한 정보노출의 경우 1500만 원 정도의 비용이 드는 개인정보유출방지(필터링) 시스템을 설치해 막을 수 있다. 그렇지만 지난해 3월 현재 공공기관 웹사이트 5608개 중 이 시스템을 갖춘 곳은 40.9%(2293개)에 머물고 있다. 이 때문에 망 분리나 필터링 시스템 구축 예산 반영을 의무화하는 것이 필요하다는 지적이다.

개인정보를 보호할 법적 기반도 허술하다. 현행 ‘공공기관의 개인정보보호에 관한 법률’은 전산화된 기록만이 보호대상이고 개인정보 수집 시 동의 획득에 관한 규정이 없는 등 허점이 많다. 한나라당이 2월 임시국회에서 우선추진 법안으로 선정한 개인정보보호법안에도 국가가 개인정보를 보유할 수 있는 기간에 대한 구체적인 규정이 없다. 지금처럼 국세청과 경찰이 개인정보를 기간 제한 없이 보유할 수 있는 길을 열어놓은 것이다.

개인정보 관리체계도 국무총리소속 개인정보보호심의위원회가 개인정보보호 정책과 제도개선 심의를, 행정안전부가 정책수립 및 총괄·조정을, 국가정보원이 해킹을 맡는 등 제각각이다.

선진국들은 영국의 ‘정보감독관(커미셔너)’ 같은 강력하고 독립적인 개인정보보호기구를 갖고 있다. 정보감독관은 각 기관의 개인정보 처리담당자를 등록해 이들의 법 준수 여부를 감독하면서 위반자는 ‘정보법원’에 제소하고 합의 권고, 화해 유도 역할까지 한다. 캐나다의 ‘연방 프라이버시 커미셔너’, 독일과 스페인 정보보호청도 비슷한 권한을 갖고 있다.

국회 입법조사처 조규범 박사는 “통합적인 개인정보보호법의 제정과 가칭 개인정보보호청 같은 통합적인 개인정보 보호기관이 필요하다”고 말했다.

김기현 기자 kimkihy@donga.com