이은우 변호사
ewlee@js-horizon.com

미국의 권위 있는 개인정보 관련 조사컨설팅 기관인 Ponemon Institute가 2008년도의 미국 기업의 개인정보 침해 관련 비용을 조사 발표했는데, 놀랍게도 개인정보 침해 1건당 평균 202달러(약 29만7천원)의 손실을 입었다고 합니다. 손실을 항목별로 살펴보면, 통지하는데 1건당 15달러가, 고객 응대하는데 39달러의 비용이 든데 비해, 고객 이탈로 인한 사업손실은 1건당 무려 139달러에 달했다고 합니다. ‘소송의 나라’라는 미국이지만 손실의 대부분은 소송 때문이 아니라, 고객 이탈로 인한 것이었습니다. 미국에서 2005년부터 2008년까지 개인들에게 통지된 개인정보 침해사례가 집계된 것만 해도 약 2억5천만건이 넘으니, 2008년도 기준을 적용하면 개인정보 침해 기업들은 약 4년만에 500억 달러가 넘는 천문학적인 손실을 입은 셈입니다. 한번 개인정보 침해사고가 나면 쉽게 100만건 이상의 노출로 연결되는데, 그 경우 기업은 단 한번의 사고로 2억 달러의 손실을 입게 되는 것입니다. 그 정도면 아무리 초일류 기업이라도 기업의 운명이 좌우될 손실이 아닐 수 없습니다.

그런데 이것은 역으로 생각해 보면, 개인정보 침해를 잘 막는다면. 기업이 경쟁에서 이길 비결이 될 수도 있다는 것입니다. 미국의 경우를 보면 4년 사이에 개인정보 침해를 잘 막은 경쟁기업들은 약 350억 달러의 사업기회를 얻게 된 셈입니다. 그리고 100만건의 개인정보 노출이 있는 경우에는 경쟁기업은 1억4천만 달러의 사업기회가 생기는 셈입니다. 따라서 이런 때일수록 '철저한 개인정보 보호를 우리 기업의 경쟁력으로 만들겠다'는 적극적인 자세가 필요하지 않은가 합니다.

그럼 개인정보 침해를 잘 막으려면 어떻게 해야 할까요? 답은 간단하지만, 실행은 쉽지 않습니다. 그러나 바로 실천해야 합니다.

미국의 경험을 보면, 2008년도 조사에 의하면 개인정보 침해 통지 대상 사고의 70% 정도가 직원이나 용역업체 직원의 과실로 인한 것이었다고 합니다. 그리고 약 60%가 노트북, 컴퓨터, USB와 같은 이동식 저장장치의 분실이나, 도난 때문에 발생한 것이라고 합니다. 반면 보안 시스템을 갖추지 못해서 발생하는 사고나, 해킹으로 인해서 발생하는 사고는 5%에 불과했습니다. 이를 보면 철저한 물적, 전자적 보안 시스템을 갖춰야 하는 것은 당연한 전제이지만, 아무리 설비가 훌륭해도 가장 역점을 두어야 할 것은 직원들의 부주의를 막는 일이라는 것을 알 수 있습니다. 그리고 직원들이 노트북이나 컴퓨터, 저장장치 등을 분실하거나, 도난당하는 것을 막는 일이 화급한 일입니다.

실제로 2008년에 Dell과 Ponemon Institute가 미국의 모든 공항을 조사해 보니, 놀라운 결과가 나왔습니다. 매주 공항에서 출장길에 평균 12,000대 이상의 노트북이 분실되고 있다는 것입니다. 아찔한 일이 아닐 수 없습니다. 따라서 기업들은 애초부터 불가피한 경우가 아니면 노트북에는 개인정보를 담아서는 안되고, 작업 후에는 즉시 완벽하게 삭제하고, 개인정보는 반드시 암호화하고, 노트북을 분실하는 일이 없도록 직원들에게 철저하게 보안 교육을 시켜야 한다는 것을 알아야 합니다.

다음으로 중요한 것은 내부 직원 뿐만 아니라, 위탁 업체나, 용역 업체, 자문 업체와 같은 제3자에 의한 침해를 막아야 한다는 것입니다. Ponemon Institute에서 2008년 미국을 조사했을 때, 제3자에 의한 침해가 44%에 달한 것으로 나왔습니다. 최근 점점 아웃소싱이나 외부 자문이 늘어나는 추세라서 미국에서도 제3자에 의한 침해는 매년 가파르게 증가하고 있습니다. 우리도 마찬가지입니다. 보안의 취약점이 될 수도 있는 제3자와의 관계를 챙기고, 다시 챙길 일입니다.

이처럼 개인정보 보호의 관건은 내부에 있는데, 실제 조사결과를 보면 대다수의 기업은 내부의 위험에 효과적으로 대처하지 못하고 있다고 답하고 있습니다. 설사 내부 접근통제 관리정책(Identity and Access Management)을 시행하고 있는 곳이라도, 위험을 막는데는 현저히 부족하다고 실토하고 있습니다. 그만큼 내부 위험요소에 대한 대처는 쉬운 것 같지만, 실상은 어려운 일이라는 것입니다.

결국 가장 중요한 것은 철저한 교육이고, 그 결과 형성되는 기업의 보안문화가 가장 훌륭한 보안이라는 것이 모든 사람들의 일치된 의견입니다. 기업들은 개인정보 보호에 관한 철저한 내부 시스템을 갖추고, 그것이 모든 직원의 몸에 배도록 교육과 훈련을 주기적으로 반복해야 합니다. 지금도 하고 있다면, 두배로 늘려야 합니다. 그래서 기업 안에 보안문화가 자연스럽게 형성되어야 합니다. 직원들에게는 위험요소를 발견하면 보고하게 하고, 신고에는 보상을 하고, 보안정책 위반자에 대하여는 보안 교육을 실시해야 합니다. 기업은 취급하는 모든 개인정보를 누가 어떤 형태로 어디에 가지고 있는지 소재를 완벽하게 파악하고, 불가결한 것만으로 개인정보의 규모를 줄이고, 개인정보에 잠금장치를 두고, 작업시에만 사용하고, 작업이 끝나거나 떠날 때는 방치하지 말고, 매일 일과를 마칠 때는 파일을 치우고, 로그오프를 하고, 열쇠를 채우도록 해야 합니다. 개인정보를 외부로 수송할 때도 보안과 암호처리를 하고, 대장에 기록하고, 추적가능한 서비스만 이용해야 합니다. 사용이 끝난 개인정보는 주기적으로 폐기하고 삭제해야 합니다. 특히 낡은 컴퓨터나 저장장치를 버릴 때는 복구할 수 없게 정보를 완전히 삭제하고, 집에서도 직원들이 동일한 절차를 거치도록 해야 합니다. 그리고 보안사고가 발생할 경우의 위기 대응방안을 미리 마련해 두고, 훈련을 해 두어야 합니다.

사실 그 동안 많은 기업에서는 직원이 개인정보가 담긴 노트북을 분실해도 직원은 회사에 신고조차 않는 경우도 많았고, 기업도 그 문제가 외부로 불거지기 전에는 공개하지 않아 왔습니다. 영국의 경우 StrongMail Research가 2008년에 조사한 바에 의하면 영국의 61%의 기업이 24개월 이내에 고객정보를 분실하거나 도난당한 경험이 있으나, 90%가 이를 알리지 않았다고 합니다. 우리나라도 영국의 경우와 비슷한 수치일 것입니다.

그러나 미국은 사정이 다릅니다. 개인정보를 분실하거나, 도난당하거나, 유출될 위험에 처하게 되면 해당 개인정보의 주체들에게 그 사실을 의무적으로 통지하도록 하는 ‘개인정보침해 통지제도’(Data Breach Notification)를 약 44개 주에서 시행하고 있기 때문입니다. 그런 미국에서 조사해 보니, 영국과는 반대로 개인정보 침해를 경험한 기업의 95% 이상이 개인정보 침해를 통지해야 하는 의무를 부담해야 했다고 답했습니다. 이 제도가 시행되면 개인정보 침해를 덮어둘 수 없기 때문에, 기업은 더 각별히 개인정보 침해가 없도록 노력해야 합니다. 그런데 우리나라에도 조만간 이 제도가 도입될 것 같습니다. 제안된 개인정보보호법안에 ‘개인정보 침해 통지제도’가 들어 있기 때문입니다.

그러므로 이제는 단 한 건의 개인정보 침해도 발생하지 않도록 상시 관리를 하는 것이 더욱 더 중요해졌습니다. 이러한 때일수록 철저한 개인정보 보호를 자신의 경쟁력으로 삼는다면, 그 기업에게는 새로운 제도의 도입은 소비자에게서 선택을 받을 수 있는 새로운 기회가 될 수도 있습니다.