2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다. 특히, 정보화 시대의 그림자로 평가받고 있는 정보 프라이버시 침해문제에 대하여 깊은 인식을 하면서 국제적 기준에 부합하는 개인정보 보호 원칙을 실현했으며, 대통령 직속으로 개인정보보호위원회를 설치해 전담체계를 갖추었다는 점에서 큰 기여를 했다고 볼 수 있다. 그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다. 1. 개인정보 범위의 모호 개인정보보호법상의 ‘개인정보’에 해당하려면, 살아 있는 개인에 관한 정보이어야 하고, 식별성 있는 정보이어야 한다. 나아가 다른 정보와 쉽게 결합하여 식별성을 띠는 정보도 개인정보에 포함시키고 있다. 그러나 위 개인정보보호법상의 ‘개인정보’의 개념이 모호하고, 그 범위 설정이 쉽지 않다는 문제점이 있다. 우선, 누구를 기준으로 식별성을 따져야 하는지가 문제이다. 정보주체를 잘 알고 있는 사람이라면 그렇지 않은 일반인보다 훨씬 더 식별성의 범위가 넓기 때문이다. 다른 정보와 쉽게 결합하여 식별성을 가지는 정보도 개인정보보호법상의 개인정보에 해당하지만, 수차에 걸쳐 결합시키면 모든 정보는 식별성을 가지게 되는 문제점도 있으며, ‘쉽게’라는 표현이 무슨 의미인지 모호하다. 현재 서울중앙지방법원은 개인정보의 개념에 대해 “구하기 쉬운지 어려운지와 상관 없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것”이라고 파악하고 있다. 또한, 어떤 조건에서 쉽게 결합하여 식별성을 가져야 하는지도 알 수 없어 개인정보가 상대적 개념으로 바뀔 수 있다는 문제점도 있으며, 쉽게 결합하여 식별성을 가지는 정보도 포함됨으로써 개인정보의 범위가 상식선을 넘어 매우 넓어질 수 있다는 문제점도 있다. 개인정보는 살아 있는 개인의 정보이므로 사망한 사람의 정보는 개인정보로 보지 않지만, 사망한 사람의 정보는 살이 있는 후손의 정보도 내포하기 마련이다. 이 경우에도 개인정보로 보지 말아야 하는 것인지, 아니면 살아 있는 후손의 개인정보인지 의문이며, 개인의 정보가 아닌 법인·단체의 정보는 개인정보로 보지 않지만 법인·단체의 임직원 정보는 개인정보인지 아닌지 모호하기 그지 없다. 개인정보보호법으로 보호해야 할 개인정보의 개념과 범위에 관하여 보다 명확하게 규정할 필요가 있다. 더불어 합리적이고 상식에 맞게끔 범위를 정할 필요가 있다. 그렇게 하기 위해서는 애매한 법조문 보다는 명확한 법조문, 누구나 이해할 수 있고 예측할 수 있는 법표현이 규정되어 있어야 할 것이다. 2. 다른 개인정보보호법제와의 관계 정립 대표적인 개인정보보호법제로는 개인정보보호법 외에 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’이 있다. 이들의 관계에 대하여 개인정보보호법 제6조는 “개인정보 보호에 관하여는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 규정하고 있다. 즉, 개인정보보호법과 정보통신망법·신용정보법 사이에 모순점이 있는 경우 정보통신망법·신용정보법이 우선 적용된다는 것이다. 위 제6조에 의하면, 정보통신망법에 의하여 규율되고 있으면 개인정보보호법의 적용은 배제된다는 것인데, 여기서 문제점이 발생하고 있다. 정보통신망법의 규율대상인 ‘정보통신서비스 제공자’는 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로 정의되어 있다(제2조 제3호). 위 ‘정보통신서비스 제공자’에는 순수한 정보통신서비스 제공자뿐만 아니라 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자도 포함하고 있다. 그런데 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자의 범위는 단순한 인터넷 사업자까지 포함하고 있는 바, 그렇다면 인터넷 공간에서 개인정보보호법이 적용되는 자는 사실상 거의 없게 되는 결론이 된다. 개인정보보호법이 정보통신망법 때문에 유명무실화되었다는 것이다. 두 법령 사이의 체계를 다시 정립할 필요성이 매우 크다. 그 방안으로는 정보통신망법 규정에서 개인정보보호 규정을 삭제하는 방안(제1안)과 정보통신망법의 ‘정보통신서비스 제공자’의 범위를 순수한 정보통신서비스 제공자로 한정하는 방안(제2안)이 논의되고 있다. 개인적으로 법령 상호간의 체계를 유지하고, 국민들의 혼란을 줄일 수 있다는 점에서 제1안을 지지한다. 다만 방송통신위원회의 감독권은 그대로 존치시키는 것이 바람직하다고 본다. <계속> * 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 10. 22.) 기고.

개인정보보호법의 제정으로 개인정보에 대하여 보호를 해야 하는 것은 알고 있지만, 보호해야 하는 개인정보의 범위는 어디까지인지가 모호하다는 말이 있다. 이번 컬럼에서는 개인정보보호법상의 개인정보에 대한 개념을 고찰해 보기로 한다. 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있다(제2조 제1호). 위 정의에 의하면, 개인정보로 인정받으려면, 1) 살아 있는 특정 개인에 관한 정보이어야 하고, 2) 그 정보로 인하여 특정 개인을 식별할 수 있어야 한다. 여기서 핵심은 2) 식별가능성이다. 1) 살아 있는 특정개인에 관한 정보 ①살아 있는 개인에 관한 정보이어야 하므로, 죽은 사람의 정보는 개인정보에 해당하지 않는다. 예컨대 사망한 대통령의 정보는 개인정보보호법상의 개인정보에 해당하지 않는다. ②개인에 관한 정보이므로, 법인이나 단체에 관한 정보는 개인정보로 보지 않는다. 예컨대 법인의 자산 규모, 영업실적, 납세실적, 법인의 어음이 부도났다는 정보 등은 개인정보보호법상의 개인정보로 보지 않는다. ③특정 개인에 관한 정보이어야 하므로, 특정 개인을 알아볼 수 없도록 가공되어 있는 정보는 개인정보에 해당하지 않는다. 예컨대 2010년도 K대 졸업생들의 평균 신장이나 취업률 등은 개인정보에 해당하지 않는다. 2) 식별할 수 있는 정보 식별할 수 있는 정보만이 개인정보에 해당한다. 식별할 수 있다는 의미는 특정 개인을 다른 개인과 구별할 수 있다는 의미이다. 따라서 성명, 주민등록번호, 주소, 학번, 아이디, 이메일 주소, CCTV 정보 등은 개인정보로 볼 수 있다. 구체적으로는 신용정보, 고용정보, 의료정보, 위치정보, 통신정보, 영상정보, 신체정보, 기호정보 등이 여기에 속한다. 다만 해당정보로 특정개인을 알아내기에 부족하여 그 상태로는 식별성을 갖추고 있지 않더라도, 다른 정보와 쉽게 결합하여 알아볼 수 있으면 개인정보보호법상의 개인정보에 해당함에 유의하여야 한다. ‘쉽게 결합하여 알아 볼 수 있다’의 의미에 대하여 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결에서는 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다고 판시한 적이 있다. 즉 해당 정보와 다른 정보가 기술적으로 별다른 제약이나 어려움 없이 결합되어 특정 개인을 알아볼 수 있다면 정보 결합이 용이하다는 것이다. 예컨대 흔한 성명에 관한 정보가 단독으로 존재한다고 하여도 동성이인이 존재하는 한 특정개인을 식별할 수 없으므로, 그 성명 정보만으로는 개인정보보호법상의 개인정보로 보지 않는다. 하지만 스마트폰에서 주식시세정보를 제공하는 앱이 사용자들의 동의를 얻지 않고 사용자들의 휴대폰에서 IMEI(International Mobile Equipment Identity, 국제단말기인증번호로서 휴대폰 기기 고유번호임)와 USIM(Universal Subscriber Identiry Module, 범용가입자식별모듈) 시리얼번호를 취득하는 경우 이러한 고유번호와 시리얼번호는 기계적인 정보라 하더라도 특정 개인에게 부여되어 있음이 객관적으로 명백하므로 이는 개인정보 취득에 해당하고 따라서 반드시 동의를 얻어야 한다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결 참조). 식별할 수 없는 정보로서 문제되는 것이 로그기록이나 쿠키파일 정보이다. 특정 시간에 특정 사이트에 접속하게 되면, 그 웹사이트의 로그기록에 접속에 관한 정보가 저장되는 것과 동시에 접속에 관한 정보가 접속자의 PC에 쿠키파일로 저장될 수 있는데, 로그기록이나 쿠키파일로는 특정개인을 식별할 수 없다면 로그기록이나 쿠키파일정보는 개인정보보호법상의 개인정보로 보지 않는다. 그러나 로그기록이나 쿠키파일정보라도 이메일 주소, 주민등록번호 등과 결합한다면 통틀어 식별성을 가지게 되므로 이 때에는 식별정보로 파악될 수 있다. 3) 참고사항 개인정보보호법에는 필요정보와 최소정보를 혼용하고 있어 그 차이가 무엇인지 궁금증을 가지게 한다. 개인정보보호법에는 필요한 정보 중에서 최소한 수집하라고 되어 있으므로(개인정보보호법 제16조 제1항, 정보통신망법 제23조 제2항), 필요정보가 최소정보보다 더 넓은 개념에 해당한다. 즉 서비스 제공에 필요한 정보가 필요정보라면, 그 중에서 반드시 필요한 정보를 최소정보라 할 수 있다. 한편 개인정보는 필수정보와 선택정보로 구분하기도 하는데, 이는 기업이 서비스를 제공할 때 사용되는 개념으로, 서비스에 꼭 필요한 정보가 필수정보이고, 홍보 등 추가적인 목적에 사용되는 정보가 선택정보이다. 원칙적으로 필수정보나 선택정보 모두 기업이 이용자로부터 수집할 때 동의를 얻어야 하지만, 다만 필수정보가 계약이행에 불가피할 때는 동의 없이 수집할 수 있으며, 선택정보에 대하여는 동의를 하지 않아도 서비스 제공을 거부해서는 아니된다. * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 8. 20.), 보안뉴스(2012. 9. 24.) 기고.

은행의 위조사이트가 아닌 정상사이트에 방문하여 평소와 다름없이 공인인증서 비밀번호, 보안카드 번호 2개를 입력하였음에도 불구하고 거액의 예금이 타인에게 빠져나가는 이른바 메모리 해킹 기법의 신종 파밍이 최근에 사회문제화되고 있다. 기존의 파밍 사기는 은행의 정상사이트가 아닌 위조사이트에서 보안카드 번호 전부를 입력하는 기법이었다면, 이번에 문제가 된 메모리 해킹 기법의 파밍은 위조사이트가 아닌 정상사이트에서 발생하였고, 피해자가 보안카드 번호 전부가 아닌 단 2개만 입력한 것이다. 이러한 신종 파밍 사기가 가능한 것은 해커가 메모리 해킹 기법을 사용하고 있기 때문이다. 메모리 해킹 기법이란 과거 게임사이트 등에서 많이 활용되던 해킹 기법으로서, 금융회사 서버에 전송하기 위하여 메모리 주기억장치의 특정 주소에 저장되어 있는 금융데이터를 해커가 악성프로그램을 통하여 위변조하는 기법을 말한다. 해커는 악성프로그램을 이용하여 메모리에 있는 계좌번호나 이체금액까지 위변조할 수 있으므로, 피해자가 자신의 친구에게 300만원 보낸 것으로 인식하고 전자금융거래를 하더라도 실제로는 해커의 통장에 3,000만원이 입금될 수도 있는 것이다. 이번에 보도된 메모리 해킹 기법은 금융거래 발생시 악성프로그램이 이를 감지하여 금융기관이 해킹을 인식하지 못하도록, 금융기관이 제공한 보안모듈이 동작되게 유지한 채로 메모리 수정해킹을 수행하여 악성프로그램이 원하는 행위를 먼저 진행하도록 강제하고 있다. 사실 전자금융거래에서 메모리 해킹 기법이 문제된 것은 이번이 처음은 아니다. 2006년, 2007년 즈음에 이미 메모리 해킹 기법의 전자금융사기 사례가 보도된 적이 있었고, 잠시 이 사기 기법이 사회문제가 되었다가 곧 잠잠해 졌다. 이런 현재의 속수무책적인 연속적인 피해발생도 문제지만 더 큰 문제는 해커가 이러한 형태의 악성프로그램을 개발하고 구하는 게 쉽지 않기에 일부 금융기관에서 전 금융기관으로 모방범죄가 확대될 수 있다는 점이며, 피해 발생 사례가 이미 7~8년 전에 보도되었음에도 불구하고 금융기관은 그 동안 이에 대하여 아무런 대비도 하지 않고 있다는 점이다. 그나마 다행인 점은, 이러한 메모리 해킹 사고에 대하여 해당 금융기관이 전자금융사고 보험으로 보상을 해 주겠다고 발표한 점이다. 다만 그 보상이 피해금의 전부인지 아니면 일부인지는 좀 더 지켜보아야 할 것으로 보인다. 메모리 해킹 기법의 파밍에 대한 이용자의 대책으로는, 첫째, 보안카드 번호 2개를 입력한 이후 확인 버튼을 눌렀음에도 불구하고 비정상적으로 종료하였다면 파밍 사기로 의심하고 바로 은행을 전화를 걸어 지급정지를 시켜야 하며, 둘째, 평상시 공인인증서 비밀번호나 보안카드 번호를 별도의 팝업창에 입력하지 않았음에도 불구하고 별도의 팝업창에 입력하는 방식으로 바뀌었다면 일단 파밍 사기로 의심을 해 보아야 한다는 점이다. 일부 금융기관은 아직도 금융기관단의 보안에만 신경을 쓰면 되고, 이용자단의 보안에 대하여는 자신의 영역이 아니라고 보고 있다. 하지만 전자금융거래 과정에서 이용자단의 보안도 엄연히 금융기관이 책임을 다하여야 하는 영역이며, 이용자단의 보안이 이루어지지 않으면 금융기관단의 보안도 위협받을 수밖에 없다는 점을 인식하여야 할 것이다. 전자금융거래 서비스에서, 금융기관단의 보안뿐만 아니라 이용자단의 보안도 금융기관이 바로 운영 및 책임의 주체가 되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 7. 22.), 리걸인사이트(2016. 2. 25.) 기고.

파밍은 악성코드에 의하여 발생되는 전자금융사기이다. 클릭 한 번으로 이용자 PC에 들어온 악성코드는 금융정보를 조용하게 탈취하여 범인에게 넘겨주고, 범인은 이를 이용하여 이용자 모르게 거액의 돈을 빼내간다. 포털 검색이나 브라우저의 바로가기를 통하여 이용자를 가짜사이트에 유도한 다음, 보안카드 번호 전부를 입력하는 것이 파밍의 전형적인 모습이었다. 인터넷하지만 최근에 나온 파밍, 이른바 메모리 해킹은 가짜사이트가 아닌 정상사이트에서 이용자의 금융정보를 털어가고 있다. 정상적인 은행사이트에서 보안카드 번호 2개를 정상적으로 입력하면 악성코드에 의하여 이용자의 PC는 멈춘다. 이후 범인이 다른 곳에서 이용자 계좌로 다시 로그인하여 접근하면 PC가 멈출 당시의 보안카드 번호 2개가 그대로 반복되므로, 범인은 이 점을 이용하여 쉽게 금융사기를 저지르고 있다. 하지만 이것도 올드한 것이 되고 있다. 정상사이트에서 이용자가 입력한 송금계좌, 송금액을 그 짧은 시간에 범인이 변조하여, 범인이 원하는 계좌에 범인이 원하는 금액을 보내는 수법이 등장하였다. 파밍기법은 이렇게 나날이 진화하고 있는데, 반면 나날이 늘어만 가는 피해자에 대한 구제는 뒤로 후퇴하고 있다. 국회는 최근 올해 11월 23일부터 시행될 예정인 개정 전자금융거래법 제9조를 통과시키면서 명확하게 파밍 사고에 대한 피해에 대하여도 원칙적으로 금융기관이 법적 책임을 부담하도록 의결하였다. 다만 예외적으로 이용자의 고의ㆍ중과실이 있는 경우에는 금융기관이 면책될 수 있다. 개정된 법의 취지에 따르면, 파밍사고에 대하여 금융기관은 이용자의 고의ㆍ중과실이 없는 한, 무조건 법적 책임을 떠안아야 한다. 하지만 최근 정부는 『전자금융거래법 시행령』 제8조 제3호를 신설ㆍ입법예고하여 금융회사의 면책범위를 정하고 있는데, ‘보안강화를 위하여 전자금융거래 시 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하여 사고가 발생한 경우’에는 금융회사의 책임을 면할 수 있다고 규정하고 있다. 시행령의 의미를 달리 표현하면, 금융기관이 제공하는 보안 프로그램을 따르지 않았다면 설사 금융사고가 발생하였더라도 금융기관은 법적 책임을 지지 않는다는 것이다. 이 시행령 조문의 적용범위는 광범위하면서 모호하고, 금융기관의 면책범위는 지나치게 넓다. 이 시행령이 그대로 적용되면, 앞으로 파밍사고에 대하여 금융기관이 책임질 일이 없어질 것이다. 법의 취지는 금융기관의 원칙적 책임부담인데, 시행령의 취지는 금융기관의 원칙적 면책이다. 금융선진국의 경우 사고발생 사실을 일정한 기간 안에 통지만 해 주면 소송 없이 이용자가 면책되는데 비하여, 우리나라 이용자는 힘든 소송을 해서 구제를 받아야 하는데, 소송을 해도 보상받을 가능성이 극히 적어지게 된다. 법치국가인데 법률 안에서 시행령을 만들어야 하지 않을까? * 법무법인 민후 김경환 대표변호사 작성, 아시아투데이(2013. 9. 26.), 디지털데일리(2013. 9. 27.), 리걸인사이트(16. 2. 24) 기고.