얼마 전 넥슨 ‘메이플스토리’ 이용자 1,320만 명의 개인정보가 유출되는 사건이 발생하였습니다. 대규모 개인정보 유출 사건이 발생하면, 항상 동일한 현상이 반복되곤 합니다. 언론은  대규모로 유출된 개인정보가 중국에서 얼마나 헐값에 거래되고 있는지 보도하기 바쁘고, 개인정보 유출에 대한 경각심을 높여야 한다는 이야기가 회자됩니다. 피해자들은 카페를 개설해서 해당기업에 대한 비판을 쏟아내고, 집단소송을 시작하기 위해 청구인단을 모집합니다. 관련부처에서는 부랴부랴 대응책을 내놓습니다. 시간이 지나면 사건은 점점 대중의 기억 속에서 잊혀져갑니다. 그렇게 사건이 잊혀질 때쯤 되면, 다시 대규모 개인정보 유출 사건이 발생합니다. 이미 수차례의 대규모 개인정보 유출 사건을 경험했는데도, 아무런 발전 없이 동일한 현상이 반복되고 있습니다.

개인정보 수집 강제하는 정부 '규제'가 큰 걸림돌

몇 년 전까지만 해도 회원가입 시 확보가능한 모든 개인정보를 수집하는 것이 일반적인 관례였습니다. 2000년대 중반까지만 해도 눈에 띄는 대규모 개인정보 유출 사건이 없었고, 기업의 입장에서는 고객의 정보를 많이 확보하면 확보할수록 시장에서 유리한 지위를 차지할 수 있었기 때문입니다. 기업은 수집한 개인정보를 바탕으로 자사의 서비스가 남성과 여성 중 누구에게 인기가 많은지, 어느 연령대에서 자사의 서비스를 주로 이용하는지, 어떤 지역에 거주하는 사람들이 자사의 서비스를 주로 이용하는지 쉽게 파악할 수 있었습니다. 이렇게 가공된 정보를 기초로 특정 연령대나 특정지역 거주자들을 대상으로 이벤트를 개최하거나, 효과적인 광고를 할 수도 있었습니다. 그래서, 기업들은 회원가입을 필수적인 절차로 만들었고, 고객들은 이 때문에 당장 필요한 글 하나를 보기위해, 당장 필요한 프로그램 하나를 다운받기 위해, 주소와 직업, 학력 등 각종 민감한 정보들까지 기업에 넘겨줄 수 밖에 없었습니다.

하지만, 이제는 상황이 변했습니다. 대규모 개인정보 유출사태가 반복적으로 발생하면서 개인정보에 대한 경각심이 높아졌고, 기업들도 자칫 잘못하면 집단소송과 윤리적 비난을 감수해야 하는 상황이 되었기 때문입니다. 그러나, 아직도 개인정보 수집 및 관리와 관련한 눈에 띄는 변화는 보이지 않고 있습니다. 그리고, 어느 누구도 이런 사건이 재발하지 않을 것이라고 자신 있게 이야기 할 수 없는 상황입니다.

왜냐하면 게임업체들은 지금 당장 개인정보 수집을 중단하거나, 종래에 수집한 정보를 폐기할 수 없는 모순적인 상황에 처해있기 때문입니다. 이를 방해하는 장애물은 바로 게임물 등급 심사나 셧다운제 같은 각종 규제들입니다. 대한민국에서 출시되는 모든 게임은 원칙적으로 게임물 등급 심사를 거쳐야 합니다. 전체 이용가 게임이 아닌 이상 서비스 제공을 위해 연령확인이 필수적으로 이루어져야하며, 이용자가 연령을 허위로 입력하는지 여부를 검증하기 위해 본인인증도 반드시 이루어져야 합니다. 2011. 11. 20.부터 시행된 청소년보호법상의 셧다운제를 준수하기 위해서도 연령확인과 본인인증이 요구됩니다.

▲ 개인정보 수집을 강제하는 정부, 업체는 해킹 사태에 그저 고개를 숙일 수 밖에...
(사진은 넥슨 긴급 기자회견 현장)

개인정보를 수집하자니 해킹의 위험이 도사리고 있고, 개인정보를 수집 안하자니 게임물 등급 심사 제도와 셧다운제를 준수할 방법이 없습니다. 운 좋게 개인정보가 유출되지 않으면 다행이지만, 해킹 등을 통해 개인정보가 유출되면 최악의 상황이 발생합니다.

정부 규제 유연화와 '입증책임의 전환' 법 개정된다면...

개인정보 유출이 최악의 상황인 것은 이용자 입장에서도 마찬가지입니다. 대규모 개인정보 유출이 발생하면, 이용자들은 통상 집단소송을 진행합니다. 하지만, 소송에서 이길 수 있는 가능성은 그다지 높지 않습니다. 집단소송에서 승소하려면 게임회사의 고의나 과실을 입증해야 하는데, 게임사가 평소 어떻게 보안시스템을 운영했는지, 해킹 시도에 어떤 방식으로 대응했는지 이용자들이 쉽게 알 수 있는 방법이 없기 때문입니다. 물론, 이용자들이 보안 분야에 대한 전문지식이 없다는 것도 승소 가능성을 희박하게 하는 이유 중 하나입니다.

결국, 현재의 상황에서는 기업은 관련법규를 준수하기 위해 해킹의 위험을 무릅쓰고 정보를 수집해야하고, 이용자는 개인정보가 유출되어도 기업을 상대로 법적 책임을 묻기가 매우 어려운 것입니다.

이런 상황을 해결하기 위한 방안으로 개인정보 유출 사고가 발생한 경우에는 회사가 유출  방지를 위한 최선의 노력을 다하였음을 스스로 입증하도록 하는 내용의 법 개정을 고려해 보았으면 합니다. 현행 개인정보보호법 제39조 제1항에서도 입증책임 전환 규정을 두고 있기는 하지만, 개인정보보호법 위반 사실이 존재하는 경우로 그 적용범위를 한정하고 있기 때문에, 문제를 본질을 해결하는데 미흡한 측면이 있습니다.

이렇게 입증책임이 전환된다면, 이용자 입장에서는 한정된 정보와 부족한 전문성을 기초로 게임사의 과실을 입증해야 할 필요성이 사라지게 되며, 회사가 주의의무를 다하였음을 입증하기 위해 제출한 증거를 살펴보고, 대응이 미흡했던 부분만 집중적으로 공격하면 됩니다. 기업들은 면책 가능성이 줄어들기 때문에 향후에 발생할 법적 위험으로부터 자유로워지기를 원할 것이고, 고객들의 개인정보를 확보하여 기업 내부에 쌓아두기 보다는 신용평가회사와 같은 외부기관을 통하여 실명을 확인하는 방식을 선호하게 될 것입니다. 그리고, 기업이 개인정보를 내부에 쌓아두지 않으면, 해커들 입장에서도 먹잇감이 없어지기 때문에 해킹 시도 자체가 줄어들게 될 것입니다.

하지만, 이런 방식의 변화가 가능하기 위해서는 기업이 내부에 개인정보를 쌓아둘 필요가 없도록 국가가 각종 규제조항들을 유연하게 적용하고, 간소화된 절차와 합리적인 비용으로 외부기관을 통해 실명을 확인할 수 있는 절차를 제공해야 합니다. 개인정보를 내부에 쌓아두지 않으면 사실상 법을 준수할 수 없도록 만들거나, 외부기관으로부터 실명확인을 받는 절차가 지나치게 복잡하거나, 비용이 많이 든다면, 기업은 법적 위험을 감수하고서라도 개인정보를 수집, 보관할 수밖에 없을 것이기 때문입니다.

정부는 기업이 개인정보를 내부에 쌓아두지 않을 수 있도록 퇴로를 열어주고, 이러한 제안을 거부하고 개인정보를 직접 수집 및 관리하는 기업에 대해서는 향후 이용자들이 쉽게 법적 책임을 물을 수 있도록 제도를 개선한다면, 제2의 넥슨 사태를 효과적으로 막을 수 있을 것입니다.