기존 이런 개인정보 유출과 관련 된 집단 소송에서는 해킹은 불가항력이라는 공식이 성립되어 있었다. 악의적인 해커가 작정하고 해킹을 시도하면 막아낼 수 없다는 것이다. 그렇기 때문에 대부분이 기업들의 손을 들어줬었다. 하지만 이번 SK컴즈의 판결은 이를 뒤집는 것으로 새로운 공식을 수렴하는 것으로 보일 수 있다. 하지만 이 문제는 단순히 '기업이 해킹을 책임져야 한다'에서 끝날 수 있는 것이 아니다.
'해킹은 불가항력이다?'
결론부터 말하자면 불가항력이 맞다. 흔히 쓰는 말로 사람이 만든 것을 사람이 못 뚫는 것이 말이 되는가? 완벽한 철옹성을 쌓더라도 무너뜨리는 것이 불가능 한 것은 아니다. 물론 최대한 단단하게 방어할 수는 있겠지만, 그것을 무너뜨리는 것이 불가능하진 않다는 것이다. 만약 현재 존재하는 가장 강력한 보안 체계를 구축하고 있는데 해커가 이를 뚫어 정보를 빼가고, 이에 대해 위자료를 물어야 한다면 기업 입장에서 얼마나 억울할까? 그렇기 때문에 여태껏 법원이 소송에서 기업의 소송을 들어줬던 이유다. 그런데 시간이 흘렀다고 해서 이 '해킹=불가항력'이라는 공식이 바뀌었을까? 여전하다. 하지만 판결은 뒤집어졌다. 그렇다면 우리는 이를 어떻게 봐야 하는 것일까?
방송통신위원회(방통위)는 올해 정책을 개정해 과태료 수위를 높이는 방안을 마련하기로 하면서 기업들이 보안에 신경 써야 할 부분이 늘어날 것으로 보인다. 하지만 불가항력이라는 공식이 깨지지 않은 상태에서 과태료를 늘리는 것 만으로 개인정보 유출 문제가 해결 될 수 있는 것일까? 물론 기업들이 좀 더 강화 된 보안 체계를 갖추게 하는 단초는 될 것이다. 이것은 중요하다.
그러나 좀 더 중요한 부분이 있다. 바로 수집 되는 정보의 범위다. 생각해보라. 우리는 웹 서비스 하나를 가입하는데 얼마나 많은 정보를 제공하고 있는가. 주민등록번호를 중심으로 이름, 주소, 전화번호, 이메일 등의 정보를 업체에 제공해야 한다. 일반적으로 이런 정보를 제공하는데 있어 거리낌이 없는데, 개인이라는 증명을 할 수 있는 수단이니 제공 할 수 있어야 한다고 판단하기 때문이다. 그런데 이와 같이 많은 정보를 제공할 필요가 있긴 한 것인지 의문을 제기한 적은 없는가? 스마트폰의 발달과 웹 서비스의 진화로 인해 굉장히 많은 해외 서비스들이 국내에 들어와 있고, 많은 사용자들을 보유하고 있다. 우리는 이 서비스들의 회원 가입 방식에서 우리나라와 다른 특징을 얻을 수 있다. 바로 '이메일'로만 가입을 한다는 것이다. 당연히 기존의 국내 서비스들의 가입 방식에 의문이 들 수 있는 부분이다.
일단 이메일만으로 개인을 증명하는데 문제가 없는지부터 살펴보자. 생각해보면 간단한 것이다. 내가 사용하고 있는 이메일 서비스의 계정과 비밀번호는 누가 알고 있는가? 나만 알고 있다. 다른 서비스를 가입하면 나만 알고 있는 이메일 계정으로 확인 메일이 올 것이고, 인증 절차만 밟으면 가입은 끝난다. 그것으로 개인임이 증명되지 않은가? '그럼 주소와 전화번호와 주민등록번호는?' 만약 어떤 웹사이트에 가입을 했는데, 그 업체가 당신에게 전화를 걸 것인가? 아니면 집으로 찾아오길 할 것인가? 그것도 아니면 은행 계좌를 대신 만들어주는가? 반대로 생각해서 도대체 업체에서 개인의 정보가 필요한 표면적인 이유가 무엇인가? 없다. 몇몇 웹사이트는 이런 주장을 하기도 한다. '상품 배송이나 뉴스 제공을 위해 사용됩니다.' 실제 당신에게 상품이 배달되거나 유용한 뉴스가 제공 된 적이 있는가? 그들이 어떤 주장을 들이대며, 개인 정보를 받아내야 한다고 하더라도 우리는 제공해야 할 이유가 없는 것이다. 상품을 배송 할 주소가 필요하다고? 가입 된 이메일로 주소를 물어보는 메일을 보내면 될 것이 아닌가. 물론 이메일 인증 방식이 문제가 없는 것은 아니다. 만약에 이메일 계정이 해킹 당하거나 도용한 이메일을 사용하면 어떨까? 그 때문에 개인 정보를 철저히 숨긴 서비스 가입만을 위한 이메일 계정을 여러 개 만들고 아웃룩이나 썬더버드와 같은 통합 이메일 서비스를 이용하게 되는 것이다. 순전히 개인 차원에서 이메일 인증 방식에 대한 보안 대책을 강구하고 있다.
우리는 쓸데없이 많은 개인 정보를 업체들에게 제공한다. 하지만 왜 이렇게 많은 정보를 수집해가는 것일까? 사이트를 가입하는데 '회원 가입 약관'이라는 것을 읽어본 적이 있는가? 대부분의 이런 약관에는 개인정보와 관련 된 부분이 존재하고, '특수한 목적으로 개인 정보를 사용할 수 있다'거나 '3자에게 제공 될 수 있다'는 조항이 포함되어 있다. 하지만 우리는 이런 조항을 읽지 않고 넘긴다. 왜? 그것을 읽는다고 해서 내가 그 사이트를 가입한다는 목적이 달라지진 않을테니까. 문제는 어디에 사용하고 누구에게 제공하냐는 것이다. 이런 정보들은 대부분 시장조사업체에 넘어가 분석하는데 사용되거나 광고 대행사에 팔려나간다. '스팸 메시지가 어디서 오는가'에 대한 정답이다. 상식적으로 생각해보자. 이들이 개인의 정보를 자기들 마음대로 사고 팔고 제공하는 것이 옳다고 보는가? 대부분은 '그렇지 않다'고 답하겠지만, 약관에 동의했으니 옳은 것이다.
여기에 해킹을 대입해보자. 만약 이메일로만 가입하는 서비스라면 해킹으로 인한 정보 유출로 인해 어떤 정보가 유출 되겟는가? 이메일 계정이다. 물론 개인이 입력한 이름 등이 유출 될 가능성이 없는 것은 아니다. 쇼핑몰 사이트하면 주소도 유출 될 수 있다. 그러나 1차적으로 유출되는 정보는 이메일 계정 뿐이다. 하지만 여러 정보를 제공해야 하는 서비스의 경우는 기본적으로 유출 되는 정보가 주민등록번호, 이름, 주소, 이메일, 전화번호 등이다. 제공하는 정보의 범위가 넓을 수록 유출 될 수 있는 범위도 넓어진다는 뜻이다. 해킹은 불가항력이니까.
그렇다면 무엇보다 중요한 것은 업체들이 수집하는 정보의 범위를 줄이는 것이다. 일단 지난 18일부터 주민등록번호 수집은 정책적으로 중단되었다. 이것은 꼭 필요한 것이었다. 하지만 정책으로 정보 수집을 모두 막아 이메일 인증 방식만 사용하면 만사형통일까? 그렇지 않다. 막는다고 해서 업체들이 정보 관리에 신경쓴다고 할 수는 없기 때문이다. 오히려 업체들이 스스로 보안 체계를 강화하고, 설사 해킹에 의해 유출되더라도 피해를 최소화 할 수 있도록 해야 한다. 그럼 수집을 막는 것이 아니라, 유출된 정보의 범위에 따라 차등 된 책임을 물을 수 있는 정책을 내세워야 한다.
예를 들어 이메일 계정, 전화번호, 주소를 유출한 업체에게는 개인당 100만원의 위자료를 배상하고, 이메일 계정만 유출한 업체에는 피해 여부에 따라 10만원의 위자료를 배상하도록 한다면 보안에 정말 자신있는 업체가 아니고서는 많은 양의 정보를 수집하려 들지 않을 것이다. 그리고 수집해야 하는 서비스라면 보안에 투자하는 비용이 자연스레 늘고 강화 될 것이다. 유동적으로 개인정보 유출 문제를 나은 방향으로 이끌어 갈 수 있다는 얘기다.
해킹을 막을 수는 없다. 분명 어떤 방식으로 든 해킹 당할 수 있는 가능성은 존재한다. 그렇다면 근본적으로 개인정보에 대한 무게감을 상기시킬 수 있도록 정책 방향을 잡아야 할 것이며, 사용자들 또한 개인 정보를 제공하는 것에 대해서 고민해봐야 할 것이다. 그것이 해킹으로 인한 개인정보 유출 피해를 최소화 하는 근본적인 해결책이다.
<외부 필자의 원고는 본지의 편집 방향과 다를 수 있습니다.>
< 저작권자 © 에브리뉴스 무단전재 및 재배포금지 >
< 기사제보 : 편집국(02-786-6666),everynews@everynews.co.kr >
에브리뉴스 EveryNews에서는 독자 여러분의 소중한 제보를 받습니다.
이메일: everynews@kakao.com
