트렌드

[흥신소] ‘휴면 계정으로 전환’ e메일 쏟아지는 까닭

2015.07.21

‘흥신소’는 돈을 받고 남의 뒤를 밟는 일을 주로 한다고 합니다. ‘블로터 흥신소’는 독자 여러분의 질문을 받고, 궁금한 점을 대신 알아봐 드리겠습니다. IT에 관한 질문, 아낌없이 던져주세요. 블로터 흥신소는 공짜입니다. e메일(sideway@bloter.net), 페이스북 (http://www.facebook.com/Bloter.net), 트위터 (@bloter_news) 모두 열려있습니다.

“왜 최근 ‘휴면 계정 전환’ e메일이 쏟아지는거죠? 궁금해서 제가 직접 알아봤습니다.” – 오원석 기자

info_1_800

원래 ‘블로터 흥신소’는 독자 여러분의 질문을 바탕으로 만들어집니다. 하지만 요즘처럼 질문이 가뭄일 때는 기자가 궁금한 것을 소재로 삼기도 합니다. 이번처럼요.

독자 여러분들도 이달 들어 여러 곳으로부터 e메일을 받고 계신 것은 아니신지요. 저는 제 개인 메일함이 가득 찼습니다. 문구는 조금씩 다르지만, 말하는 바는 하나입니다. 제 계정이 얼마 후 휴면 계정으로 바뀐다는 내용입니다. 메시지는 대략 다음과 같습니다.

[정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 동법 시행령]에 따라 1년 이상 서비스 이용 내역이 없는 회원은 휴면계정으로 전환되어 별도 저장·관리를 할 예정입니다. 휴면계정 처리를 원하지 않으실 경우 8월 17일 이전까지 ‘◻︎△○× 홈페이지’에 1회 로그인을 하시면 휴면계정 전환 없이 서비스 이용이 가능합니다.

앞으로 로그인하지 않으면, 제가 가입한 어떤 웹사이트에서 저의 개인정보를 별도로 관리하겠다는 메시지입니다. 언제 이 사이트에 가입했는지 쉽게 기억을 떠올릴 수 없을 만큼 잊고 지내던 곳입니다. 퍽 오래 로그인을 하지 않았는지, 해당 사이트에서는 제 계정을 휴면계정 처리 대상자로 분류한 모양입니다. ‘휴면계정’이라는 말은 무슨 뜻일까요. 어떤 정보를 어떻게 처리하겠다는 것일까요. 왜 최근 들어 이런 e메일이 집중적으로 발송되고 있는 것일까요. ‘블로터 흥신소’에서 알아봤습니다.

이름, e메일, 전화번호 따로 보관해야

특정 웹페이지나 서비스에 로그인하려면, 개인정보가 필요합니다. ID나 비밀번호를 입력하고 웹사이트의 서버에 저장된 개인정보와 대조하는 과정이죠. 지금까지는 사용자가 서비스나 웹사이트에 가입하면, 사업자는 최장 3년 동안 개인정보를 보유할 수 있었습니다. 사용자가 잊고 사용하지 않게 됐다고 하더라도 말이죠. ‘개인정보 유효기간제’라고 부릅니다.

더 읽어보세요!

법이 바뀌어 이 기간이 줄어들었습니다. 3년에서 1년으로 말이죠. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 개정안이 그것입니다. 지난 2014년 5월28일 처음 공포됐고, 오는 8월18일부터 시행됩니다. 개정안에 따르면, 서비스 제공자는 1년 이상 접속하지 않은 사용자의 개인정보를 대상으로 8월18일까지 삭제하거나 분리 보관해야 합니다. 최근 e메일에서 휴면계정 전환이라고 부르는 것이 바로 이 과정입니다.

최근 이어진 개인정보유출 사고의 재발을 막기 위해, 개인정보를 빼가기 위한 외부의 공격으로부터 사용자의 정보를 지키기 위해 별도의 서버 등에 분리 보관하도록 하는 조처입니다.

제29조(개인정보의 파기)

① 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구·재생할 수 없도록 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.

1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

방송통신위원회는 방문자수가 5만~10만명 수준인 중소사업자에 대해 주민번호 수집 실태를 점검과 파기 작업을 지원하고 있다고 합니다. 올 하반기에는 5만명 미만 영세사업자 지원에 집중하고, 연말까지는 1만5천여개에 이르는 웹사이트에 대한 주민번호 삭제 및 관련 시스템 개선작업을 마무리할 계획이라고 합니다.

key_800

휴면계정 삭제 않고 분리 보관, 과연 안전할까

세칙을 보면, 사용자가 서비스에 최종 접속한 날로부터 1년이 경과하기 1달 전에 사업자는 사용자에게 이에 대해 알릴 의무가 있습니다. 8월18일을 한 달여 앞둔 요즘 e메일이 쏟아지는 것은 이런 이유에서 그렇습니다. 정보통신망법 개정안 시행으로 분리 보관되거나 삭제될 예정인 사용자의 개인정보는 다음과 같습니다.

이름, e메일, 주소, 전화번호, 구입내역, 상담내역

그동안 잊고 있던 쓰지도 않는 서비스, 이참에 깨끗하게 삭제해주면 참 좋을 텐데 말입니다. 사업자는 삭제 대신 분리 보관하는 것을 선택하는 것이 보통입니다. 2가지 이유에서 그렇습니다. 하나는 사용자가 다시 서비스를 이용하고자 할 때 휴면계정에서 활성 계정으로 쉽게 전환할 수 있도록 하기 위함이고요. 다른 하나는 사업자 처지에서 보면 사용자의 개인정보는 일종의 자산이기 때문에 그렇습니다.

여기서 문제가 발생합니다. 개인정보 분리 보관 조처가 행여 앞으로 발생할지 모를 개인정보 유출 사고로부터 완전히 자유로운 것은 아닙니다. 다음은 국내 한 보안업체 관계자의 설명입니다.

“개인정보를 별도로 보관을 해야 하는데, 어떻게 하느냐는 사업자의 몫이거든요. 어떤 식으로든 실제 활성화돼 있는 서버와 분리되기만 하면 됩니다.”

즉, 사업자는 같은 서버에서 별도의 테이블(공간)을 마련해 그곳에 휴면 상태인 개인정보를 보관해도 됩니다. 인터넷으로부터 완벽히 분리된 별도의 저장장치에 보관하는 것이 더 안전하지만, 사업자 처지에서 개인정보를 이렇게 철저하게 분리 보관하기란 쉬운 일이 아닙니다. 언제든지 사용자의 계정 활성화 신청을 받아줄 수 있어야 하기 때문입니다. 분리 보관된 개인정보일지라도 어떤 식으로든 실제 서버에 연결돼 있어야 하는 것이죠. 따라서 분리 보관된 개인정보는 실제 사용 중인 서버로부터 논리적으로 분리돼 있을 뿐, 외부의 공격으로부터 완전히 자유로울 수는 없다는 게 이 관계자의 설명입니다.

불안한 점은 또 있습니다. 이번 개정안 시행으로 분리 보관된 개인정보에 보관 유효기한이 없다는 점입니다. 사업자는 휴면계정으로 전환해 분리 보관 중인 사용자의 개인정보를 언제까지고 갖고 있을 수 있습니다.

정보통신망법 개정안으로 개인정보 유출 사고를 완전히 막을 수 있을까요. 비슷한 사고가 다시는 발생하지 않길 바람하는 마음뿐입니다.

sideway@bloter.net

기술을 이야기하지만, 사람을 생각합니다. [트위터] @Sideway_s, [페이스북] facebook.com/sideways86, [구글+] gplus.to/sideway [e메일] sideway@bloter.net