“어떠한 개인정보든 정보주체의 동의 하에서만 이용돼야 하며, 절대 매매돼서는 안된다. 그러나 현재 우리나라에서는 정보주체의 동의하에 매매할 수 있다. 개인정보 보호와 이용을 적절히 조화시킬 수 있는 방법을 찾는 것이 시급하다.”
구태언 테크앤로 대표변호사의 일성이다.
개인정보보호법 강화로 무분별한 개인정보 수집이 제한되면서 기업은 쿠폰·상품권 지급 등의 이벤트를 진행하면서 개인정보 수집에 동의하도록 만들었고, 결국 개인정보 수집 제한 효과가 없게 됐다는 주장이다.
합법적인 개인정보 수집을 위해 기업은 더 많은 마케팅 비용을 들이게 됐으며, 이는 상품/서비스 원가에 포함되고 결국 다시 소비자의 부담으로 돌아가게 된다. 개인정보 보호에 예민한 소비자의 경우 개인정보 제공에 동의하지 않고, 마케팅 이벤트 참여 권유를 받는 횟수를 줄일 수 있다. 그러나 많은 사람들은 이러한 이슈에 민감하지 않기 때문에 쿠폰이나 상품권을 받고 개인정보 활용에 동의함으로써 개인정보보호법 강화의 취지를 무색하게 만들고 말았다.
따라서 개인정보 수집을 무조건 차단하는 방법보다 적절하게 이용하면서 보호할 수 있는 방법을 마련해야 한다는 것이 구태언 변호사의 조언이다.
그는 “개인정보를 무분별하게 수집하고, 오남용하는 것은 철저히 금지해야 한다. 개인정보는 안전하게 보호돼야 하지만, 적절한 수준으로 이용할 수 있어야 기업은 마케팅 기회를 갖고 개인은 필요한 상품/서비스 정보를 얻을 수 있다”고 거듭 강조했다.
테크앤로, IT 전문 법률기업 역할 수행
테크앤로는 국내 유일의 IT 전문 법률기업으로, 올해 초 신용카드사 개인정보 유출사고 상황실에 합류해 위기대응 체계 마련에 도움을 주었다. 또한 국내 대표적인 3차원 스캐너 전문업체에서 퇴사한 핵심연구원이 영업비밀을 유출한 사건을 맡아 정당한 기술개발자를 보호하는데 도움을 주는 등 보안 전문 법률기업의 역할을 담당하고 있다.
최근 컴플라이언스가 강화되면서 IT 전문 법률조직에 대한 관심이 높아지고 있다. 개인정보 유출사고나 전자금융사기 사고의 예를 들면, 최근 법 조항은 기업의 책임을 강화하는 방향으로 개정되고 있다. 따라서 기업들은 보안사고 발생을 막기 위해 미리 리스크 관리를 철저히 해야 하며, 사고 발생 시 체계화된 매뉴얼에 따라 위기대응 체계로 전환해야 한다.
특허·저작권 같은 지식재산권 보호, 영업비밀·기술 유출 방지, 개인정보보호 자문, 방송·통신 등 ICT 비즈니스 자문, 관련분야 규제개선 연구 및 정부 자문, IT컴플라이언스 자문, 준법지원·통제 및 감사, 기업·금융 및 내부보안 등은 IT 법률 전문조직에서 도움을 받을 수 있다.
더불어 사고가 발생하고, 소송사건 및 각종 소송외 사건에 대한 예방 그리고 내부 리스크, 규제 리스크, 대규모 소송에 대한 해결책 및 적절한 대응, 과학적 증거 수집·분석 등에 있어서도 법률자문을 받을 수 있다.
구 변호사는 “사이버 공격은 더욱 지능화되고 있기 때문에 기술만으로 막을 수 없으며, 법의 틀 안에서 제대로 된 리스크 예방과 위기대응 체계를 갖춰야 한다. IT와 관련된 전문 법률 서비스를 제공하고, 전문인력 양성을 위한 각종 교육프로그램에 도움을 주면서 이 분야를 활성화시키기 위해 노력하고 있다”고 밝혔다.
지능형 공격, IT 기술과 법률 통해 방어
최근 심각한 문제로 떠오른 전자금융사기 피해도 법적인 도움이 반드시 필요하다. 전자금융사기 예방을 위해 금융기관은 FDS 시스템을 구축하도록 하고 있지만, FDS는 세부적인 기술 뿐만 아니라 규제준수와 관련된 요구도 매우 높다.
FDS는 거래 자체에 이상행위가 있는지 살펴보는 시스템으로, 평소 사용자의 사용패턴에 따라 이상행위 여부를 탐지해야 한다. 그러나 평소 거래를 패턴화하는데 어느 정도 시간이 소요될 수 있으며, 사용자의 불편함을 초래해서는 안된다.
금융기관은 더 편리한 온라인 결제 서비스를 요구받으면서 더 강력한 보안을 보장할 수 있는 거래환경도 함께 만들어야 한다. 이는 금융기관에 매우 큰 위협이 되고 있는데, 어떠한 보안 시스템도 공격자는 우회할 수 있는 방법을 찾아내기 때문이다.
은행 콜센터에 직접 전화를 걸어 몇 년 전 중단된 텔레뱅킹 서비스를 재개시켜 계좌의 돈을 송금한 공격이 대표적인 사례라고 할 수 있다. 면대면 인증이 안되는 콜센터 서비스의 경우 고객이 개인정보를 정확하게 입력했다면 해당 사용자 본인이 맞는 것으로 인정할 수 밖에 없다.
구 변호사는 이러한 점을 지적하며 “그 어떤 기술로도 완벽한 보안을 보장할 수는 없다. 공격자는 쉬지 않고 보안에 취약한 지점을 탐색해 찾아낸다. 무엇이든 뚫는 창과 무엇이든 막는 방패는 있을 수 없으며, 결국은 언제나 창이 이기게 돼 있는 것이 현재 보안 환경”이라며 “기술과 법을 모두 이용해 기업 전반의 보안 정책을 강화하고 리스크 관리 체계를 만드는 것이 중요하다”고 말했다.
FDS, 개인정보보호법과 충돌…법 개정 위해 노력
한편 구 변호사는 최근 발족한 한국FDS산업포럼의 고문변호사와 법률분과를 맡아 FDS 법·제도적 발전을 위해 노력하고 있다.
금융감독당국은 금융권의 FDS 구축을 의무화하고 있지만, 개인정보보호법, 위치정보보호법, 정보통신망법 등에 의해 FDS를 위해 필요한 개인정보 수집이 제한을 받으면서 규제간 충돌이 발생하고 있는 상황이다. 따라서 전자금융거래법상 금융회사 등의 의무를 이행할 수 있도록 정보수집 관련 법령의 통일적인 개정이 필요하다.
또한 스마트폰에서 발생하는 이상거래를 탐지하는 것도 FDS의 중요한 숙제이다. 안드로이드, iOS를 지원하면서 운영체제(OS) 업데이트, 새로 출시되는 기기마다 단말정보를 수집하고, 위변조 식별, 프록시 탐지 및 역추적 기능 등이 적용돼야 한다. 더불어 실시간으로 이상금융거래를 탐지/차단하면서도 정상거래는 빠르게 이뤄지도록 해야 한다는 점도 중요하게 고려해야 한다.
구 변호사는 “정부적 차원에서의 규제완화 혹은 FDS 시스템 도입에 맞춘 법개정 그리고 기업차원에서는 FDS 도입에 관련된 기술적 과제들을 해결하는 것이 시급하다”며 “이와 관련된 문제를 해결하는데 도움이 될 수 있도록 적극적으로 지원하고 있다”고 말했다.
