동창 명부 무심코 건넸다간 수천만원 벌금
김남석 행정안전부 제1차관은 지난 27일 서울에서 열린 한 세미나에 참석해 "개인정보보호법 시행으로 개인정보보호의 사각지대가 사라지게 될 것"이라고 공언했다. 지금까지는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 개별법의 적용을 받는 기업이나 기관만이 정보보호 의무를 갖고 있었지만 앞으로는 개인정보를 다루는 모든 조직 · 단체들에 의무를 부과하기 때문이라고 설명했다.

◆법 시행 뒤에 세부 기준 제시?

하지만 정작 법을 지켜야 할 사람들은 개인정보보호법에 대한 정확한 정보를 갖고 있지 못한 것이 현실이다. 업무 또는 다른 이유로 갖고 있는 타인의 정보가 어떤 의미를 갖는지,법을 준수하려면 구체적으로 어떤 준비를 해야 하는지 제대로 알지 못하고 있다. 새로 법 적용을 받는 대상이 300만명(곳)에 이르는데도 정부가 법안 내용과 시행 절차를 알리는 노력을 게을리했기 때문이다.

법안에 따르면 당장 오늘부터 당사자 동의를 받지 않은 채 제3자에 개인정보를 제공하거나 받았을 경우 5년 이하 징역이나 5000만원 이하 벌금,안전성 확보 노력을 하지 않아 개인정보를 분실 · 도난 · 유출 · 변조당했을 때는 2년 이하 징역 또는 1000만원 이하의 벌금을 각각 물어야 한다.

행안부는 법 시행 하루 전인 29일에야 '표준개인정보 보호지침'과 '안전성 확보조치 고시시안'을 인터넷 홈페이지(www.privacy.go.kr)에 공개했지만 내용이 모호해 국민에겐 별 도움이 안 된다는 지적이다. 게다가 "시안이라서 아직 확정된 것은 아니다"라는 문구를 달아 그대로 따라야 할지도 의문이라는 불만이 나오고 있다.

보안 컨설팅 업체의 한 관계자는 "정부가 법 시행을 코앞에 두고도 확정 가이드라인을 제시하지 못하는 것은 큰 문제"라고 꼬집었다. 이 때문에 29일 하루 동안 기업의 문의 전화가 100여통 가까이 걸려왔지만 구체적인 대응 방식을 알려주는 데 어려움을 겪고 있다고 토로했다.
동창 명부 무심코 건넸다간 수천만원 벌금
◆350만곳 단속에 고작 6명?

법안 내용 자체도 지나치게 포괄적이다. 예를 들어 개인정보보호법 시행령 제30조는 "개인정보를 다루는 사람들이 안전성 확보 조치를 해야 한다"고 규정하고 있다. 내부 관리계획을 세워 시행하고,개인정보 접근을 통제하고,접근 권한을 제한해야 하고,안전하게 정보를 저장 · 전송할 수 있는 암호화 기술을 적용해야 한다.

하지만 실제로 보안 솔루션을 도입해 적용하는 현장에선 이 같은 안전성 확보 조치 기준의 구체성이 떨어진다는 지적이다. 행안부 관계자는 "내달 중순께 법안과 관련된 자세한 내용을 담은 해설서를 내놓을 계획"이라고 밝혔지만 법안 시행 이후에 상세 기준을 제시하는 것이 과연 맞느냐는 비판이 나오고 있다.

단속도 문제다. 개인정보 보호 대상이 50만곳에서 350만곳으로 대폭 늘어나지만 단속 인력은 고작 한 명에서 6~7명으로 늘어난다. 이들이 350만곳에 이르는 업체를 입체적으로 조사할 수는 없는 노릇이다. 업계에선 사실상 소수의 대형 업체로 단속이 쏠리거나 일회성의 '몰아치기' 단속이 이뤄질 것으로 내다보고 있다.

이 같은 상황에서 소규모 업체나 자영업자들은 보안장비 도입이나 관련 준비에 소극적으로 나설 가능성이 높다는 관측도 제기되고 있다. 적발될 가능성이 극히 낮다면 굳이 돈을 쓸 이유가 없다는 것이다. 실제 서울 잠실동의 한 공인중개사는 "정부가 우리처럼 작은 중개업소의 정보 유출을 제대로 조사할 수 있겠느냐"고 반문했다.

이승우 기자 leeswoo@hankyung.com