세계 최대 소셜미디어 업체인 페이스북(현재 기업명은 메타)의 이용자 5억 3,000만 명의 개인정보가 유출되었다. 유감스럽게도 요즘 흔히 말하는 가짜 뉴스가 아닌 2021년 4월에 실제로 일어났던 일이다. 그 가운데 한국인의 개인정보도 12만 건에 달했다고 한다(2021년 4월 4일 자 SBS 뉴스 참조). 페이스북의 경우 2016년에는 8,000만 명, 2019년에도 2억 6,700만 명의 개인정보 유출사건이 각각 발생했다.
최근 국내 농업계에도 개인정보 무단 조회 및 유출 사고(2022년 9월 29일 자 전업농신문 참조), 경진대회 참석자의 개인정보 유출 사고(2023년 10월 6일 자 한국경제TV 뉴스 참고)가 보도되는 등 개인정보 유출의 문제는 잊을 만하면 불쑥불쑥 나타난다.
본 기고에서는 여전히 사회적으로 논란을 일으키고 있는, 개인정보의 유출에 따른 위험성과 정보 활용의 환경변화 및 이에 대처하기 위한 정보보호 관리체계의 구축에 관해 살펴보고자 한다.
정보 유출의 위험성
코로나 팬데믹 시절 온라인상거래가 급격히 늘었다. 이제 웬만하면 재래시장이나 마트에 가서 직접 샀던 물건들을 비대면으로 그것도 집에서 모바일을 이용하여 간편하게 구매한다. 특히 물품구매뿐만 아니라 다양한 커뮤니티 활동을 위해 온라인에서 이루어지는 회원가입은 정보 유출의 가능성을 높이고 있다. 문제는 근래의 정보 유출이 새로운 문제를 야기하고 있다는 점이다. 실례로 개인의 정보가 유출되면 유출된 정보를 이용하여 또 다른 개인의 정보를 탈취하는 피싱(Phishing)이나 문자메시지로 링크를 보내 악성코드를 퍼뜨리는 스미싱(Smishing) 등의 사회공학적 공격에 따른 심각한 피해를 낳는 것이다.
정보 유출은 사안별로 다르므로 어떤 형태의 피해가 더 크다 혹은 더 적다고 할 수 없지만, 일반적으로 정보 유출에 따른 피해의 범위와 파장 등을 고려할 때 금융기관의 정보 유출은 심각한 사회적, 경제적 문제에 직결되기도 한다. 금융기관은 금융거래의 주체와 객체 등에 대한 각종의 정보를 활용하여 사업을 영위한다. 살아있는 개인의 정보 및 사업체 등의 정보뿐만 아니라 금융거래에서 신용도를 판단할 수 있는 다양한 신용정보 내지는 금융거래 및 그 절차와 관련한 정보 등이 주를 이루고 있다. 그런 의미에서 금융기관의 정보 유출은 그 자체가 바로 개인과 기업 등의 금전적 손실과 직접적으로 연결되어 막심한 경제적 피해는 물론 사회적 혼란을 초래하는 중차대한 사안이 될 수 있다.
데이터 3법 시대의 정보 활용
4차 산업혁명 시대에 정보의 능동적 활용이라는 시대적 조류에 발맞춰, 2020년, 큰 환경적 변화를 불러왔던 것에는 ‘데이터 3법’(’빅데이터 3법‘ 또는 ’데이터경제 3법‘이라고도 한다)이라는 것이 있었다. 데이터 3법은 「개인정보보호법」, 「신용정보법」, 「정보통신망법」의 개정안을 말하는 것으로 데이터 3법을 통해 개인의 정보를 ‘가명정보(假名情報)’화하여 추가 정보의 결합 없이는 개인을 식별할 수 없도록 하는, 즉 안전하게 처리된 가명정보의 개념을 도입한 것이 개정안의 핵심이라 할 수 있다. 그간 과도한 규제로 말미암아 제한된 범위에서밖에 사용하지 못했던 개인정보의 수는 법의 개정을 통해 대폭 증가하였다.
농수산 식품 산업의 관점에서 본다면 데이터 3법의 도입으로 가명 처리된 농업경영체, 축산농장 등의 정보는 다양한 영역이나 분야에 활용될 수 있다. 집적된 기상과 토지, 농작물의 출하와 재배 및 소득 관련 정보와 개인정보의 융합을 통해 맞춤형 정보서비스의 형태로 제공되고 있는 것이 구체적 사례라 할 수 있다. 또한 농수산 식품 분야의 마이데이터 활용뿐만 아니라 그 밖에도 농어민의 토지나 소득과 관련한 정보와 농업경영체 및 보조금 지급 이력 및 융자금 사용 명세나 농기자재 구매 이력 등의 정보와 연계하여 대안소득을 평가하는 신용분석의 기법도 데이터 활용의 새로운 예라 할 수 있다. 이렇게 점점 더 여러 방면에서 데이터의 활용범위를 넓혀 경제를 활성화하는 것이 우리 농수산 식품 산업을 발전시키는 계기가 되고 있다.
농수산 식품 분야 종사자들을 위한 금융상품 제공 외에 다채로운 정보제공서비스(제9회차 기고문인 ‘ON고지신’에 게재 예정)를 설계하고 있는 ㈜온투인(이하 온투인)은 개인정보, 신용정보 등의 금융 관련 정보와 그 밖의 일반정보로 나누어 관리하고 있다. 개인정보란 살아있는 개인을 식별할 수 있는 정보로, 쉽게 말하면 성명, 연락처 등을 뜻하고, 신용정보란 금융거래 등 상거래에서 상대방의 신용을 판단할 때 필요한 정보 즉 소득 관련 정보나 금융거래 이력 등의 정보를 말하며, 그 밖의 일반정보란 개인정보도 신용정보도 아닌 일반적인 정보로 농산물 유통 가격, 기상정보 등이 해당한다. 마지막으로 굳이 세분화하자면 개인정보와 신용정보의 교집합으로서 개인의 신용도와 신용거래 능력 등을 판단할 때 필요한 개인신용정보가 있다. 이러한 각종 정보 간의 융합과 응용을 통한 새로운 사업모델의 창출은 비단 온투인뿐만이 아니라 핀테크 업체가 데이터 3법 시대에 능동적으로 대처하는 방향성이라 볼 수 있다.
그러나 이와 같은 정보의 활용이 제대로 빛을 발휘하기 위해서는 그 토대가 되는 정보에 대한 보호조치와 이를 구현하는 관리체계의 구축이 선행되어야 한다. 즉 데이터를 활용할 수 있는 근거는 마련되었지만, 문제는 민감한 개인의 정보 등을 활용하여 수익을 창출하는 과정에서 개인정보 등을 활용하는 기업들의 정보보호에 대한 인식 제고와 그에 따른 강화된 정보보호 관리체계의 구축과 운영이 더 요구되고 있다는 것이다.
정보보호 관리체계
「온라인투자연계금융업 및 이용자 보호에 관한 법률」은 연 1회 이상 온투업계가 정보관리의 실태를 점검하여 금융위원회에 보고하도록 규정하고 있다.
동 조사를 통해 개인정보 및 신용정보의 수집과 이용 및 제공, 처리 위탁, 보관상태 등의 각 항목을 점검하도록 의무화하고 있으며 검증된 외부전문 기관에 의한 점검을 매년 시행하고 있다.
이는 해킹, 정보의 유출 및 노출 등에 의한 정보보호 관리체계의 취약점을 파악함으로써 각종의 정보보호 리스크(Information Security Risk)에 사전 대응하기 위함이다.
정보보호는 기업의 평판리스크(Reputation Risk)에 직접적이면서 치명적인 영향을 미치기 때문에 고객의 정보를 취급하는 기업은 당연히 사업 초기의 기획단계부터 고객의 정보를 안전하게 보호하기 위한 각종 방안을 설계하고 적용해야 한다. 정보보호에는 여러 방안이 있겠으나, 정보의 외부 유출을 막기 위한 물리적 통제뿐만 아니라 기술적 통제 및 관리 측면에서의 통제를 강화하는 관리체계를 구축하여 운영하는 것이 바람직하다고 본다. 대표적인 통제를 유형별로 본다면 물리적인 통제로는 외부인의 접근을 차단하기 위한 출입통제 시스템과 고정형 CCTV의 설치 등을, 기술적 통제는 중요 정보에 대한 암호화와 업무망에 대한 인터넷 차단 등을, 그리고 직무의 분리와 법적 요구사항에 관한 준수 검토 등의 관리적 통제를 통해 개인정보의 유출을 미연에 방지하기 위한 근본적인 대책을 세워야 한다.
금융기관에 있어 이용자(투자자와 차입자)의 정보는 금전에 버금가는 자산이라 할 수 있다. 비록 개인정보의 유출과 관련한 근래의 사건들이 소규모에 간헐적으로 일어나는 경향을 보이고 있지만 이런 보도를 접할 때마다 기업들은 정보보호 관리에 대한 경각심을 더욱 새롭게 해야 한다. 정보 유출은 그 규모를 떠나 사건의 발생만으로도 어떤 면에서는 기업이 정보보호 관리에 대한 통제력을 상실해서 발생한 결과라 여겨지기 때문이다. 소중한 자산 지킴이의 역할을 다시 돌아보며 글을 마친다.