업체 자율점검에 합의…강제성 없어 실효성 미지수
방송통신위원회가 개인정보 유출 예방을 업계 자율에 맡겨 논란이 일고 있다.
방통위는 5일 10여개의 방송·통신·인터넷 관련 협회 임원들과 함께 업종별로 특화된 ‘개인정보 보호수칙’을 만들고, 업계가 개인정보 유출을 방지하기 위해 자율 점검하기로 합의했다.
이에 대해 보안업계와 전문가들은 개인정보 유출 예방을 업체 자율에만 맡기는 것은 방통위가 사실상 손을 놓겠다는 것과 다름없다고 지적하고 있다. 이미 각종 자율규제와 강력한 법적 장치가 마련돼 있지만, 업체들이 이를 실행하지 않는 게 문제라는 것.
NHN(현 네이버) 보안팀에서 근무한 경험이 있는 A씨는 “대다수 기업들은 보안설비를 구축할 때 총관리자로 일반사원을 뽑을 정도로 관리에 허술하다”며 “강제성 없이 자율점검을 강화하겠다는 정부의 방안은 비현실적”이라고 꼬집었다.
익명을 요구한 이동통신 텔레마케팅(TM) 전문업자는 “이통3사가 개인정보 유출의 숙주인 불법 TM업체를 근절하기 위해 개인정보보호협회(OPA)를 자체 구성했지만, 1년간 겨우 200곳을 적발했다”며 “이통사는 오히려 자율규제를 방패 삼아 대다수의 불법 TM 영업을 묵인·종용하고 있는데 과연 실효성이 있겠느냐”고 반문했다.
더 큰 문제는 정부가 이러한 실정을 자세히 모르거나, 알아도 관리체계가 부족해 업체들의 ‘눈속임’이 지속되고 있다는 점이다. 이에 전문가들은 자율규제로 맡길 게 아니라, 당국이 주기적으로 개인정보보안 실태를 관리·감독하거나 개인정보 보안시스템 인증제를 의무 도입하는 등 강제성을 띤 정책이 병행돼야 한다고 강조한다.
고려대 정보보호대학원 임종인 교수는 “전체가 공감하는 수준의 자율규제를 만든다면 결국 규제 수준이 낮아질 수밖에 없다”며 “미국식 집단소송제나 징벌적 배상제 등을 도입해 자율에 대한 책임을 강력히 묻지 않는 이상 실효성이 떨어질 것”이라고 지적했다. 이어 “이제는 실행을 강화하기 위한 규제 차원에서 접근해야 한다”고 덧붙였다.
성균관대 정태명 교수는 “통신사 개인정보보호의 경우, OPA를 통해 자율규제하고 있지만 당국이 제대로 관리하지 못하고 있다”며 “자율규제가 이상적이지만 실현성을 담보할 방책을 먼저 내놔야 한다”고 말했다.
이에 대해 방통위 개인정보보호윤리과 반상권 과장은 “직접 관리하기엔 인력이 부족하고 인증제를 의무 도입하기는 기업 부담이 크다”며 “이번 안은 업체들의 인식을 전환하자는 취지에서 마련됐다”고 설명했다.