[사설 속으로] 한겨레·중앙일보, ‘KT 개인정보 유출’ 사설 비교해보기

<한겨레>와 <중앙일보>가 함께 구성한 지면으로 두 언론사의 사설을 통해 중3~고2 학생 독자들의 사고력 확장에 도움이 되도록 비교분석하였습니다. 다음주 4월1일에는 ‘통일준비위’에 대한 논제가 실립니다.

[한겨레 사설] KT 개인정보 유출 사고, 땜질처방 안 된다

카드회사의 대규모 개인정보 유출 사태의 여파가 채 가라앉기도 전에 국가 기간통신사업자인 케이티(KT)에서 또 개인정보 유출 사고가 터졌다. 최문기 미래창조과학부 장관은 9일 민관합동조사가 진행되고 있는 케이티 사옥을 방문해 철저한 조사를 주문했고, 미래부와 방송통신위원회는 국장급을 공동단장으로 하는 ‘정보통신분야 개인정보 유출 대책단’을 구성해 재발 방지 대책을 찾겠다고 발표했다. 하지만, 전혀 믿음이 가지 않는다. 툭하면 터지는 개인정보 유출 사고에 체념한 나머지 정부의 재발 방지 약속이 지겨울 정도다.

케이티의 개인정보 유출은 지난 1월에 드러난 카드사의 그것보다 더 심각한 사고로 봐야 한다. 우선 2차 피해 때문이다. 카드 3사의 경우 1억건이 넘는 개인정보 유출이 있었지만 검찰이 수사 과정에서 대부분 회수한 반면 케이티에서는 이미 2차 피해가 진행중일 가능성이 크다. 케이티는 지난 7일 경찰의 수사 발표 뒤 곧바로 누리집에 사과 안내문을 올려 “가장 중요한 것은 고객님의 소중한 자산인 개인정보가 더 이상 유통되거나 악용되지 않도록 하는 것”이라고 강조하며 “이런 일이 재발하지 않도록 모든 조처를 다하겠다”고 밝혔다.

그러나 케이티는 이번 사건의 자세한 경위는 물론이고 피해 내용조차 아직 제대로 파악하지 못하고 있다. 이 때문에 1600여만명에 이르는 케이티 가입자들은 자기 정보의 유출 여부를 확인할 방법도 없다. 케이티 누리집의 안내문에는 “정보유출 확인은 해당 자료를 확보하는 대로 시스템을 구현할 예정”이라고만 되어 있다. 사건 경위와 피해 현황조차 제대로 파악하지 못한 상황에서 2차 피해를 최소화하겠다는 약속은 아무 의미가 없다. 케이티는 2012년에도 가입자 873만명의 개인정보가 유출된 전력이 있다. 그때도 세계 최고 수준의 보안을 갖춘 기업으로 거듭나겠다고 약속했으나 결국 빈말에 그쳤다.

케이티 사고가 심각한 또 다른 이유는 ‘본인확인기관’이라는 점 때문이다. 정부는 주민번호제도에서 비롯된 개인정보 유출 문제가 심각해지자 2012년 8월부터 민간의 주민번호 수집을 원칙적으로 금지했다. 대신 케이티를 비롯한 11개 ‘본인확인기관’을 지정해 예외적으로 주민번호 수집 허용과 함께 공인인증서 같은 대체수단을 발급할 수 있도록 했다. 그런데 본인확인기관의 개인정보마저 무더기로 유출된 이상, 앞으로 주민번호제 유지를 전제로 한 어떤 재발방지 대책도 실효성을 갖기 어렵게 됐다. 근본적인 재발방지는 주민번호제와 본인확인기관 지정제를 전면 개편하는 길밖에 없다.

[중앙일보 사설] 고객정보 세 번 털린 KT, 정보통신기업 맞나

신용카드사에서 1억 건이 넘는 개인정보 유출 사건이 터진 지 두 달 만에 또다시 이동통신사에서 대규모 고객정보 유출사고가 벌어졌다. 정보통신기술(ICT)의 총아라는 거대 통신기업인 KT가 해커 한 명에게 1년에 걸쳐 무려 1200만명의 고객 개인정보를 털렸다는 것이다. KT는 지난 2004년 92만명분의 개인정보가 유출됐고, 불과 1년8개월 전인 2012년 7월에도 877만명분의 개인정보를 해킹당한 전력이 있다. 이번 사고를 포함하면 벌써 세 번째 고객정보 유출사고를 낸 것이다.

해킹을 통한 개인정보 유출사고는 해킹이라는 불법적 범죄행위가 1차적 원인이지만 이 같은 시도를 막지 못한 정보관리자에게 더 큰 책임이 있다. 개인정보의 수집행위가 일상적인 범죄의 대상이 된 오늘날, 막대한 개인정보를 수집해 보관하는 기관이나 기업은 당연히 해킹 시도가 있을 것을 전제하고 이를 사전에 차단해야 마땅하다. 특히 정보 유출 시도의 개연성이 큰데다 이미 그런 사고의 전력이 있는 KT는 예상할 수 있는 모든 해킹 시도와 정보 유출 가능성에 대비했어야 했다. 그런데 KT는 범인이 극히 초보적인 해킹프로그램을 이용해 고객의 개인정보를 빼내가는 것을 1년간이나 모른 채 방치했다. 이는 단순한 ‘보안 불감증’이 아니라 ‘보안 무책임’이나 ‘직무 유기’에 해당하는 처사가 아닐 수 없다. 과연 이러고도 우리나라 정보통신산업의 선두주자가 되겠다고 할 수 있는지 의문이다.

일단 철저한 수사를 통해 해킹을 한 범인 일당을 처벌하는 것은 물론 KT에 대해서도 반복적으로 정보 유출을 방치한 책임을 엄중히 물어야 한다.

또한 이번 개인정보 유출로 인한 2차 피해가 발생하지 않도록 대책 마련이 시급하다. 우리는 신용카드사 정보 유출 사건 때 정보 유출 가능성이 있는 개인정보를 수집한 기관과 기업에 대해 일제점검을 벌일 것을 촉구했다. 지금이라도 다른 통신사 등 기업과 공공기관은 개인정보 관리와 보안 상태를 철저히 점검해 또 다른 정보 유출 사고가 없는지 확인하기 바란다. 그게 국민의 불안을 더는 첫걸음이다.

---

경제정의실천시민연합 회원들이 18일 오전 서울 광화문 케이티 사옥 앞에서 1200만명 고객정보 유출에 대한 책임을 묻는 공익소송을 제기하겠다고 밝히는 기자회견을 하고 있다. 신소영 기자 viator@hani.co.kr

[논리 대 논리]
‘개인정보 유출’ 기업 잘못인가, 국가도 책임있나

단계 1 공통 주제의 의미

상상해보라. 당신이 새로운 사업을 시작할 때, 소비자들이 어떤 성향과 취미를 가지고 있고, 그들의 재산 정도가 얼마이며, 지난 한 달간 구매한 물건이 무엇이며, 어떤 서비스를 제공받았으며, 어떠한 종류의 소비생활을 했는지에 관한 기록을 손에 쥘 수 있다면 이는 ‘황금알을 낳는 거위’라고 할 수 있지 않을까.

기업이 개인의 정보를 목말라하는 것은 왜일까? 정보화 시대에 개인의 정보가 곧 ‘돈’이기 때문이다. 정보가 곧 돈인 세상에서 한 사람이 돈벌이의 대상으로 전락하지 않고 의사결정의 주체로서 존중받으려 개인정보의 보호는 필수적이다.

그러나 대한민국의 대표적인 통신기업이자 국가 기간통신사업자인 케이티(KT)의 홈페이지가 해킹당하여 무려 1200만명의 개인정보가 유출되었다. 지난 1월 카드회사에서 1억400만건의 개인정보 유출 사태가 터진 지 얼마 되지도 않아 다시 대규모 개인정보 유출 사건이 터진 것이다. 케이티 가입자 1600만명 가운데 75%에 이르는 고객들의 이름, 주민등록번호, 전화번호, 휴대전화 기종, 요금 약정제도와 기간, 요금 자동이체 계좌번호가 빠져나갔다고 한다. 그럼에도 케이티는 경찰이 수사결과를 발표할 때까지 이 사실을 1년 동안 모르고 있었다고 한다.

2012년에도 케이티에서는 전산망 해킹으로 873만명의 고객정보가 유출되기도 했다. 당시 사고 발생 직후 케이티는 세계 최고 수준의 보안 인프라를 갖추겠다고 약속했다. 하지만, 말뿐이었다. 국가 기간통신사업자로서의 케이티의 전산망 보안과 개인 고객정보 보호 수준이 이 정도라면 다른 기업의 수준은 어떨까.

단계 2 문제 접근의 시각차

이번 사태에 대한 한겨레와 중앙의 태도는 사설의 제목에서 확연하게 드러난다. ‘케이티 개인정보 유출 사고, 땜질처방 안 된다’, ‘고객정보 세 번 털린 케이티, 정보통신기업 맞나’. 전자는 한겨레의 사설 제목으로 정부의 근본적인 재발 방지책을 강조하고 있고, 후자는 중앙의 사설 제목으로 케이티의 책임을 묻고 있다. 이와 아울러 두 신문사가 케이티를 어떤 기업으로 규정하고 있는지, 그 시각의 차이를 들여다보는 것도 흥미롭다. 우선 한겨레는 케이티를 ‘국가 기간통신사업자’임을 전제하고 있고, 중앙은 케이티를 ‘거대 통신기업’으로 전제하고 있다. 이 시각의 차이가 이번 사태에 대한 두 신문사의 태도를 결정하고 있다고 해도 과언이 아니다.

한겨레는 케이티가 국가 기간통신사업자이니만큼 이번 사태에 케이티는 물론 국가에도 엄중한 책임이 있음을 말하고 있다. 반면 중앙은 케이티를 거대 통신기업으로 규정한 만큼 그 규정에 걸맞은, ‘정보통신산업의 선두주자’로서의 보안책임을 케이티에 주문하고 있다.

케이티를 국가 기간통신사업자로 규정하고 있는 한겨레는 ‘정부의 재발 방지 약속이 지겨울 정도’라며 개인정보 유출 사고에 대한 정부의 태도를 공격한다. 하지만 중앙은 ‘해킹이라는 불법적 범죄행위가 1차적 원인이지만 이 같은 시도를 막지 못한 정보관리자에게 더 큰 책임이 있다’고 말한다. 발언의 표면만을 보자면, 한겨레는 책임이 국가에 있다고 말하고 있지만 중앙은 개인과 기업에 책임이 있다고 말하고 있다.

단계 3 시각차가 나온 배경

한겨레와 중앙의 이러한 시각 차이는 이번 사태의 해결책을 제시하는 데에도 여전히 작동한다. 한겨레는 이번 사태와 같은 일을 방지하기 위해서는 ‘주민번호제와 본인확인기관 지정제를 전면 개편하는 길밖에 없다’고 단호하게 못박는다. 이는 카드회사의 개인정보 대량유출 사태와 관련하여 경제정의실천시민연합, 진보네트워크센터, 참여연대, 함께하는 시민행동 등이 “주민번호 체제를 근본적으로 개편하고 개인정보 보호를 위한 대책을 수립해야 한다”고 촉구한 사실과 무관하지 않다. 그동안 시민단체들은 유출된 주민번호로 인한 피해를 막기 위해 정부는 주민번호 변경을 허용하고 민간과 공공 영역에서는 주민번호 수집 및 이용을 제한해야 한다고 주장해온 바 있고, 박근혜 대통령도 “외국 사례를 참고해 주민등록번호와 함께 개인을 식별할 수 있는 다른 대안이 없는지 검토해 주기 바란다”고 청와대 수석비서관 회의에서 지시한 바 있다. 한겨레의 주민번호제 개편 주장도 이런 맥락에서 읽을 수 있다.

중앙은 이번 사태의 책임을 국가로까지 확대해서 묻지 않는다. 중앙은 ‘철저한 수사’로 범인을 처벌하고 케이티에 대해서 ‘책임을 엄중히 물어야 한다’는 선에서 그치고 있다. 또한 중앙은 이번 케이티의 개인정보 유출로 인한 2차 피해가 발생하지 않도록 대책을 마련해야 한다고 촉구하고 있다. 책임론에 무게를 두는 한겨레와 달리 중앙은 현실적 실용성에 무게를 더 둔다. 국가는 여타의 통신사와 기업과 공공기관의 개인정보 관리와 보안 상태를 철저히 점검해야 한다는 논조 역시 실용성에 무게를 두는 중앙의 태도를 보여준다.

---

[키워드로 보는 사설]
개인정보 자기결정권

그동안 소비자들은 금융사에 써내거나 입력한 자신의 정보가 얼마만큼, 어디에, 어떤 곳까지 공개되고 사용되는지 알 도리가 없었다. 지난 3월10일 정부가 내놓은 정보유출 재발방지 종합대책에서는 이런 소비자들의 불안감을 그나마 덜 수 있는 ‘자기정보결정권’을 보장하는 내용이 추가됐다. 본인의 신용정보를 누가, 어디에 이용하고 누구에게 무슨 목적으로, 언제 주었는지를 알 수 있도록 본인정보이용 현황 조회 요청권과 청구권 등을 보장하기로 한 것이다. 소비자가 본인 정보의 이용 현황을 금융사에서 언제든 조회할 수 있고 삭제와 보안 조처도 요청할 수 있도록 해 소비자의 자기정보결정권을 강화한다는 것이 ‘정보유출 재발방지 종합대책’의 골자다. 자기정보결정권의 강화 조처로 앞으로 고객이 자신의 신용정보를 어느 회사에서 언제, 어떤 목적으로 활용하고 있는지 조회할 수 있는 시스템이 구축되고. 금융회사가 보유한 자신의 정보를 파기할 것을 요청할 수도 있게 된다. 그러나 외국처럼 기업들에 천문학적인 금액을 물릴 수 있는 징벌적 손해배상 제도나 집단소송제 도입이 항목에서 빠져 대책의 실효성에 의문이 제기되고 있는 실정이다.

---

[추천 도서]

1984년
조지 오웰 지음, 김병익 번역
문예출판사 펴냄, 2006년

미국 정부가 첨단 전산 시스템, 프리즘이란 프로그램을 통해 세계적인 통신사와 아이티(IT)기업 서버에 접속한 다음 개인정보 등 방대한 데이터를 수집해온 사실이 폭로된 이후 조지 오웰의 소설 <1984> 판매가 크게 늘었다고 한다.

이 소설은 정보기술이 권력자의 지배도구로 이용될 때 어떻게 인간성을 억압하고 자유를 침해하는지를 생생하게 보여준다. 개인에 대한 감시체계가 점점 고도화·정교화되고 아울러 인간의 의식을 조작할 수 있는 가능성이 점점 증대되고 있는 오늘날의 현실에서 자신의 의사를 스스로 결정하고 책임진다는 것이 무엇을 의미하고 어떤 실존적인 노력을 요구하는지를 이 책은 진지하게 고민하고 생각하게 해준다.