정부가 데이터 경제 활성화를 지원하기 위해 가명정보 활용을 가능케 하기 위한 규제 완화를 추진하고 있는 가운데, 모럴 해저드가 심각한 금융권에 개인정보를 제공하는 것에 대한 우려가 제기된다. 4차 산업의 핵심인 빅데이터 확보 차원에서는 환영할만한 일이지만, 개인정보를 다루는 기업의 윤리의식에 대한 국민들의 불신도 높다. 

특히 금융권의 경우 개인정보 유출 사고가 해킹 등 외부적 요인에 의한 것이 아니라 대부분 직원 유출 등 내부적 요인에 의한 것이어서, 단순히 보안을 강화하는 수준에서 예방이 어렵다는 점도 지적되고 있다. 또 정부가 개인을 특정할 수 없도록 비식별화 된 정보만을 활용하도록 한다고는 하지만, 작년에 발생한 대기업 간 공통고객 개인정보 결합 사례에 비춰보면 우려를 불식시키기 어렵다.

지난 2007년부터 2017년까지 10년간 굵직했던 대기업발(發) 개인정보 침혜사례 44건을 참여연대 공익법센터가 최근 분석한 결과, 60억건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 드러났다. 

단 한 건으로 가장 많은 피해가 발생한 것은 지난 2011년 발생한 싸이월드(SK커뮤니케이션즈) 해킹 사건으로 약 3500만명의 개인정보가 유출됐다. 이 때 유출된 정보는 계정, 이름, 혈액형, 휴대전화 번호, 이메일, 비밀번호, 주민번호 등으로, 중국 해커에 의한 범행으로 밝혀졌다. 

이밖에도 옥션, 넥슨, KT, 인터파크 등에서도 1000만건 이상의 개인정보 유출 사고가 발생했다. 대부분 해커의 소행이거나, 내부 정보에 접근 가능한 직원과 해커가 공모한 사고였다. 

반면, 삼성카드(2011년 192만명), 하나SK카드(2011년 9만7000건), SC제일은행(2011~2012년, 10만3000건), 씨티은행(2013년, 3만4000건), 메리츠화재(2013년, 16만명), 국민카드·농협카드·롯데카드 등 카드3사(2013~2014년, 1억580여만건) 등 금융업계에서 발생한 정보유출 사고는 대부분 내부 직원에 의한 범행으로 밝혀졌다. 

삼성카드의 경우 영업직원이 삼성카드 서버에 침입해 192만명의 고객정보를 유출해 신용정보회사 담보대출 업무에 사용했다. 하나SK카드에서는 텔레마케팅 지원업무 담당이 개인정보를 개인 이메일을 통해 유출한 후 분양대행업자에게 판매했다. 

SC제일은행에서는 외부업체 직원이 3개월간 고객정보를 USB에 저장해 대부중개업자 및 대출모집인에게 건당 50~500원에 건넸고, 씨티은행에서는 대출담당 직원이 은행 내부 전산망에서 개인정보를 문서로 출력해 외부로 유출했다. 메리츠 화재에서도 내부 직원이 고객 계약정보를 빼돌렸다. 

1억건 이상의 정보유출 사고가 난 카드3사(국민카드, 농협카드, 롯데카드)의 경우 KCB(코리아크레빗뷰로) 신용평가사 직원이 카드사에 파견을 나가 고객정보를 USB로 유출해 대출광고업자와 대출모집인에게 넘겼다. 

대형 사고가 발생했음에도 감독기관의 징계 수위는 매우 낮았다. 카드 3사의 경우 과태료 600만원, 신규업무 영업정지 3개월의 처분을 받았다. 대부분의 처벌이 과태료 600만원에 '주의' 정도로 마무리 되며 처벌이 '솜방망이'에 그쳤다는 비난도 나왔다. 

가명정보는 개인을 특정할 수 없도록 개인정보에 비식별 조치를 완료한 정보를 말한다. 식별 가능한 정보를 완전히 삭제하고 범주화 하는 익명정보보다 많은 데이터가 포함돼 있어 기업들은 가명정보를 더 선호한다. 

전문가들은 가명정보를 활용한다 해도 온전한 형태의 개인정보화 하는 것은 어렵다고 입을 모으지만, 추가 정보가 덧붙여질 경우 완전히 불가능한 것도 아니라고 설명하고 있다. 즉 의도적으로 개인정보를 조합할 경우 막기 어렵다는 것이다. 

작년 이동통신3사와 삼성카드 등 20개 기업들이 통신, 금융, 쇼핑 등을 이용하면서 고객들이 제공하거나 발생한 각정 신용 및 통신정보 등을 비식별조치가이드라인에 따라 일부 식별자를 삭제하거나 암호화 한 후 제 3자에게 제공하고, 기업간 공통고객 개인정보를 결합하려고 시도했던 의혹이 제기됐다. 

예를들면 통신사가 보유한 통신료 미납 정보, 단말기 정보 등과 생명보험사가 보유한 추정소득금액, 추정 주택 가격, 보험 가입 건수 등이 결합돼 각 사가 공유하는 등의 방식이다. 

당시에도 교환에 사용된 개인정보는 비식별화 조치를 취했으나, 비식별화의 기준마련, 실행 및 감시를 모두 기업 자체적으로 하도록 해 실효성에 의문이 제기됐다. 또 박근혜 정부 시절 정부가 설립한 '개인정보 비식별 조치 전문기관'을 통해 이같은 거래가 이뤄지며, 정부기관이 중개에 동원됐다는 비판도 나왔었다. 

이 때의 명분도 빅데이터를 활용하기 위한 것으로, 방송통신위원회가 초안을 작성한 '빅데이터 개인정보보호 가이드라인'에 따른 것이었다. 

금융업계의 한 관계자는 "(금융권의 개인정보 유출 사고는) 대부분의 사고가 내부 직원에 의한 것으로 당시부터 금융권 모럴 해저드 논란이 많았지만 현재도 크게 개선됐다고 보기는 어렵다"며 "4차 산업 시대를 맞아 빅데이터가 절실한 상황에서 어느정도는 국내 업계가 불신을 자초한 면이 있는 것 같다"고 말했다. 

참여연대 측은 "개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다"며 "이를 위해 정보주체의 권리 실질화, 개인정보 보호를 위한 법제 및 감독 기구 개선, 권리구제 활성화를 위한 집단소송제 도입 및 징벌적 배상제도 확대 등이 이뤄져야 한다"고 주장했다.