메신저피싱 기승… 인터넷 개인정보관리 살펴보니

지난달 31일 메신저 프로그램에 접속 중이던 이모(27)씨는 메신저로 같은 회사 선배인 임모(34)씨로부터 230만원을 급히 입금해 달라는 부탁을 받았다. 이씨의 휴대전화기에는 임씨로부터 전송된 계좌번호가 적힌 메시지가 수신됐다. 이씨는 계좌이체를 하기 위해 은행 홈페이지에 접속했다. 하지만 아무래도 낌새가 이상해 임씨에게 전화를 걸고 나서야 깜빡 속을 뻔했음을 알게 됐다.

최근 기승을 부리고 있는 메신저피싱이다. 용의자는 이씨와 임씨의 이름과 전화번호 그리고 선후배 관계라는 것까지 모두 알고 있었다. 개인정보 유출이 심각한 수준임을 입증하는 사례다.

국내 개인정보 관리체계의 법제적 허점이 커 보이스피싱이나 메신저피싱에 매우 취약하다는 지적이 높다. 약관에 형식적인 동의만 하면 소중한 정보가 줄줄 새나가도록 방치하고 있다는 것이다.

7일 한국인터넷법학회가 연구·작성하고 법제처가 공개한 ‘개인정보 보호와 적정 활용의 조화를 위한 제도 도입 연구’ 보고서에 따르면 개인정보 보호규정 위반시 처벌 수준은 높지만, 빠져나갈 구멍이 워낙 커 실효성이 없는 것으로 분석됐다.

●사후 정보관리 위한 제도 필요

보고서에 따르면 현재 우리나라 정보통신망법상 개인정보의 수집·이용행위는 세계에서 유례를 찾아보기 어려울 정도로 엄격한 규제를 적용받는다. 처벌 수위도 매우 높다. 원칙적으로 정보 주체의 동의를 받지 못하면 개인정보의 수집·이용이 허용되지 않는다.

하지만 이는 형식적인 동의만 받으면 어떤 용도로든지 개인정보를 이용할 수 있다는 의미로 악용돼 역효과를 불러오고 있다는 것이다. 메신저피싱을 당하는 이유도 회원약관에 동의해 가입한 인터넷 사이트를 통해 본인 정보가 고스란히 유출됐기 때문이다.

한국인터넷법학회는 개인정보 수집에서는 옵트아웃(opt-out) 방식을 일반화하고 개인정보의 민감도에 따라 탄력적으로 법적 요건을 차별화할 것을 제안했다.

●OECD국가 옵트아웃 일반화

옵트아웃 방식이란 거부 의사를 밝혀야 정보의 수집·사용을 할 수 없는 것을 말한다. 하지만 정보 제공시 반드시 사후에 반드시 정보 주체에게 통보해야 하고, 본인이 거부하면 그 이후 어떤 용도로든 정보를 제공할 수 없다. 일단 개인정보 수집·사용은 자율에 맡기지만 본인의 책임과 의지로 사후 무분별한 유출을 막을 수 있는 게 장점이다.

반면 옵트인(opt-in) 방식은 정보의 수집·사용을 위해선 반드시 개인의 동의를 얻어야 하는 현행 방식이다. 얼핏 보면 훨씬 개인정보를 보호할 수 있는 것처럼 보이지만, 일단 동의만 얻으면 정보의 수집·사용이 자유로워 개인정보가 무분별하게 유출될 수 있다.

경제협력개발기구(OECD) 국가들 중 상당수는 이같은 점을 감안해 옵트아웃 방식을 중심으로 옵트인 방식을 적절히 조화해 적용하고 있다.

정찬모 인하대 법학부 교수는 “개인정보 보호 법체계가 민감정보에서는 사전 동의를 얻는 옵트인 방식을 유지해야겠지만, 무분별한 개인정보 유출을 막기 위해서는 옵트아웃 방식을 폭넓게 활용하도록 법제가 개편돼야 한다.”고 말했다.

이영준기자 apple@seoul.co.kr