“개인정보 영구 보관이요? 보관이 아니라 방치죠.”
프랜차이즈업체, 병원, 대학, 중견·중소기업 등에 쌓인 다량의 개인정보가 사실상 방치되고 있다는 지적이 일고 있다.
5일 보안업계에 따르면 치킨, 피자, 커피전문점 등 각종 프랜차이즈를 비롯해 병원, 대학, 유통사들이 모으는 개인정보는 대기업에 맞먹는 수준이지만, 개인정보보안 솔루션 도입은 전무하거나 극히 미미한 수준이다.
익명을 요구한 복수의 보안업체 관계자는 “업계는 물론이고 그들 자신 조차 어떻게 개인정보 보안을 하고 있는지 모를 것”이라며 “사용하지 않는 개인정보는 따로 관리하지도, 폐기하지도 않고 그저 방치돼 있다고 봐야한다”고 지적했다.
개인정보가 방치되는 가장 큰 이유는 비용 때문이다. 일단 보관할 정보와 폐기할 정보를 일일이 분류하는 데만 해도 상당한 시간과 비용이 든다. 개인정보보호법에 따라 개인정보를 복구 불가능할 정도로 폐기하기도 쉽지 않다. 정보를 7번 이상 덮어쓰거나 자기장을 이용한 삭제 방법이 있다. 또 하드웨어를 아예 물리적으로 분쇄하기도 하는데 이 역시 비용이 많이 든다.
개인정보유출 사고에 대한 정부의 솜방망이 처벌도 개인정보 방치에 한 몫을 한다. 이상일 의원에 따르면 2009년부터 개인정보를 유출한 58개의 금융회사, 기업, 공공기관 중 과태료 처분을 받은 곳은 13곳에 불과하다. 가벼운 징계인 경고·주의 등 시정조치를 받은 곳은 14곳이다. 나머지 31개 금융회사, 기업, 공공기관은 개인정보 유출 사실이 확인됐음에도 아무런 징계를 받지 않았다.
당국의 감시·감독도 허술하다. 정부에서 기업의 개인정보보호 수준을 관리할 수 있는 수단으로 한국인터넷진흥원(KISA)에서 만든 ‘개인정보보호관리체계인증(PIMS)’이 있다. 그러나 인증 보유 여부는 기업 자율에 맡기고 있어 이를 보유하고 있는 국내 업체는 이동통신 3사, 대기업, 게임사 등 32곳이 전부다.
한국정보화진흥원(NIA)은 PIMS보다 기준이 완화된 ‘개인정보보호인증(PIPL)’을 지난해 11월 29일부터 시행하고 있지만, 문의만 무성할 뿐 심사에 들어간 업체는 한 곳도 없다.
고려대 정보보호대학원장 임종인 교수는 “몇몇 대기업을 제외하고는 개인정보 보호에 완전히 손 놓고 있다”며 “비용을 들여서라도 쓰지 않는 개인정보를 찾아내고 관리·폐기해야 할 유인을 정부가 제공하지 않으면 개인정보유출 사고는 더욱 늘어날 것”이라고 강조했다.