주민번호, 아이디, 비밀번호까지…공공·민간사업자 개인정보 유출 심각
야놀자, 쏘스뮤직 등 유명 기업 다수 포함
피해자 수 10만 명 이상일 때에만 공표해 '미공표' 상당수
강병원 의원 "개인정보 유출 공표 기준도 자의적…국민 알 권리 보장해야"
[아시아경제 오주연 기자] 지난해 명품 브랜드 중 하나인 샤넬코리아에서 고객 이름부터 전화번호, 생일, 구매내역 등 8만 여 명의 개인정보가 유출된 이후에도 공공기관과 민간사업자를 가리지 않고 개인정보 유출 사고가 지속되고 있는 것으로 나타났다. 그러나 개인정보가 유출된 후 사후결과를 알리는 공표 기준이 '피해자 수 10만 명 이상일 경우'로 제한되어 있어, 해당 기준에 미치지 않을 경우에는 국민의 알 권리가 침해된다는 지적이 나온다.
8일 국회 정무위원회 소속 강병원 더불어민주당 의원이 개인정보보호위원회(개보위)로부터 받은 자료에 따르면, 최근 3년간(2019~2022년 6월) 민간사업자·정보통신서비스제공자의 개인정보 유출 신고 기관수는 509건, 총 신고 건수는 3828만 건으로 집계됐다.(허위·중복신고 가능성 포함)
공공기관만 별도로 집계했을 경우, 개인정보 유출 신고가 이뤄진 기관은 총 54건, 신고건수는 38만여 건에 달했다.
이 중에는 수원시청 등 공공기관을 비롯해 쏘스뮤직, 샤넬, 야놀자 등 국민에 익숙한 기업도 다수 포함돼 있어 공공기관과 민간사업자 등을 가리지 않고 개인정보 유출이 이뤄지고 있는 것으로 보인다.
개인정보 유출 신고 건수가 3년 간 3800만여 건이 넘었지만, 안전조치 의무를 위반한 기관 및 업체들은 솜방망이 처분을 받는 데에 그쳤다. 공공기관의 과태료 합계는 7620만원이고, 민간사업자·정보통신서비스제공자의 과징금 합계는 약 17억원, 과태료는 약 3억원이었다. 유출된 개인정보 내용에는 성명·연락처·주소·이메일·직업·성별·주민등록번호·출신학교·아이디·비밀번호 등이 포함되어 있는데, 국민 절반 이상의 민감한 개인정보가 줄줄 새는 것에 비하면 처벌 수위는 낮다는 지적이다.
또 다른 문제는 이러한 개인정보 유출을 알리는 공표 기준마저 자의적이라, 피해자 수가 적으면 그나마도 공표되고 있는다는 점이다. '개인정보보호위원회 처분결과 공표기준'의 제2조(공표요건)를 보면, 개인정보 유출 및 침해사고로 인한 피해자 수가 10만 명 이상인 경우 처분 결과를 공표할 수 있도록 돼 있다.
강 의원실 측은 현재 개보위가 개인정보 유출지, 회수 현황 취합에 관한 명확한 기준을 두고 있지 않으며 매우 민감한 개인정보가 유출되고 있음에도 사후관리는 방기하고 있다고 꼬집었다.
강 의원은 "각 공공기관이 '개인정보보호 시행계획'을 수립하고 있음에도 불구하고 개인정보가 줄줄 새는 것은 현 제도에 중대한 허점이 있다는 것"이라면서 "개보위는 유출 방지 대책의 단순 배포를 넘어서, 시행 여부의 정기적 검토 등 실효적 기능을 할 수 있도록 공공·민간기관과의 협약체결 등이 이루어져야 한다"고 말했다.
이어 "개보위의 처분 결과 공표 요건도 자의적"이라며 "현행 요건에 따르면 피해자 수가 10만명 이상일 때에만 공표할 수 있다"고 설명했다. 그러면서 "9만9999명이면 공표할 수 없다는 것인가"라고 반문하며 "이는 국민 상식에도 어긋나고, 알권리를 침해하는 것"이라고 강조했다.
오주연 기자 moon170@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>