코로나19 확산 예방을 위해 운용하는 열화상 카메라가 사용자 동의 없이 얼굴을 촬영해 저장하고, 경우에 따라 외부로 전송하고 있다는 지적이 나왔다.
10월 13일 열린 정무위 국정감사에서 국민의힘 강민국 의원은 개인정보보호위 윤종인 위원장에게 "열화상 카메라에 촬영된 사진을 저장하고 외부에 전송하는 기능이 있음에도 이에 대한 관리가 이뤄지지 않고 있다. 개인정보 침해 가능성이 큰 얼굴 촬영 기능에 대해 분쟁조정이나 침해신고 등 민원도 없다"고 말했다.
강민국 의원은 "국내 열화상 카메라 제품 3개 중 2개는 불필요한 네트워크 접속 시도가 있었으며, 이는 잠재적인 정보유출 위험요소다. 국내에서 제조 및 유통되는 제품 40개 중 5개는 수동으로 삭제하지 않으면 사진이나 영상이 파기되지 않는 경우도 있다. 최근 얼굴 영상 정보를 악용해 AI로 합성하는 범죄도 일어나는 상황에서 개인정보위가 이러한 우려를 등한시하고 있다"고 말했다.
윤종인 위원장은 "일부 제품에서 보안 취약점이 있다는 사실을 파악하고 과기정통부와 협동해 광범위한 실태조사를 실시할 계획이다. 특히 열화상 카메라뿐만 아니라 다양한 정보 수집 기기가 등장할 것으로 예상해, 제조업자 수준에서 이를 해결하는 것이 효율적이라 판단하고 있다. 앞으로 제조업자와 연계해 개인정보를 보호할 수 있는 법적·제도적 장치를 마련할 것"이라고 말했다.
오징어 게임에서 노출된 전화번호, 피해 구제 가능성은?
더불어민주당 윤관석 의원은 "최근 오징어 게임에 나온 명함 전화번호에 실제로 전화를 걸어본 시청자들이 있고, 실제 전화번호 주인은 이를 통해 피해를 입었다. 개인정보위는 넷플릭스나 제작자에 대해 법적 책임이 있냐는 질문에 보호법상 유출에 해당하지 않는다고 했는데, 적절한 것인지 궁금하다"고 말했다.윤 위원장은 "법 해석에 따라 개인정보 유출사고 개인정보 처리자에 의한 유출이기 때문에 유출로 보지 않는다. 다만, 과실로 인한 개인정보 노출은 있다고 판단하며, 사실상 피해가 발생했으니 분쟁조정이나 손해배상 대상이 될 수 있다"고 답했다.
또 모바일 메신저나 소셜 미디어 등을 통해 발생할 수 있는 개인정보 침해에 대해 지적했다. 카카오톡의 경우 전화번호만 있으면 자동 친구추가 기능을 통해 상대방의 사진 등을 확인할 수 있으며, 인스타그램 역시 연락처에 있는 상대방을 자동으로 팔로하는 기능이 있어 상대의 일상 생활 사진을 엿보는 것도 가능하다.
윤관석 의원은 "우리 법과 맞지 않아 피해자 구제가 어렵다는 것은 소극적인 태도로, 반드시 개선해야 한다. 만약 법 위반이 아니라고 판단한다면, 향후 넷플릭스나 제작사가 전화번호 주인에게 번호를 바꾸라고 요구할 수도 있다. 피해 보상과 회복에 소극적인 태도를 보이면 개인정보보호에 대한 인식 역시 나빠질 수 있다. 때문에 적극적으로 법과 규정을 보완하길 바란다"고 말했다.
전자기기 통한 근로감시, 정보주체인 근로자 보호할 제도 마련도 필요
정의당 배진교 의원은 업무용 메신저, 위치추척 앱, CCTV 등을 통해 근로자를 감시하는 '디지털 근로감시'에 대해 관심을 가져야 한다고 지적했다.배진교 의원은 "이렇게 변화하는 상황에 개인정보 보호법 적용에 한계가 있다. 고용주와 근로자 관계에서 정보주체의 권리를 보호하지 못하고 있는 상황이다. 직장에서 CCTV뿐만 아니라 스마트를 이용한 위치 추적, 소셜 미디어 감시까지 활용되고 있다. 하지만 노동자는 불합리한 조건을 거부하기 어려운 상황"이라고 설명했다.
최근 사례로 여성긴급전화 1366 서울센터는 근로 공간에 CCTV를 설치하려 했으나, 직원이 동의하지 않아 무산됐다. 이후 센터는 전화상담실 내에서 발생하는 안전사고에 대해 근로자 본인이 책임지는 데 동의하라고 요구했다.
그는 "인권위에 따르면 전자기기를 통한 근로감시와 관련해 민원도 6.5배 증가한 상황이다. 이러한 감시는 늘어나는 반면, 개인정보위는 개인정보 자기결정권 침해에 대해 대응하지 못하고 있는 상황이다. 때문에 개인정보 보호법에 디지털 근로감시에 대한 항목을 추가하고, 실태 조사나 보호법 이행 관련 등을 점검해야 한다"고 말했다.
윤 위원장은 "지적에 공감한다. CCTV 설치 시 개인정보 보호법, 근로자참여법 등에 근거해 개인의 동의를 받아야 하는 것이 사실이다. 하지만 현실에서는 이러한 위반 사례가 발생하고 있다. 개인정보위는 고용노동부 등과 협력해 일탈이나 위법을 감시하고, 사회 사각지대를 메우는 등 적극적으로 보완하겠다"고 말했다.
디지털 시대에 늘어나는 개인정보보호 문제, 대응 인력은 부족해
더불어민주당 송재호 의원과 국민의힘 윤두현 의원은 개인정보 활용과 보호의 중요성이 커지는 데이터 중심 사회에서 전담기관인 개인정보위의 예산과 인원이 부족한 것은 아닌지 질의했다.송재호 의원은 "온라인에서 엄청난 데이터가 유통되면서 유출 문제 역시 늘어났다. 그런데 개인정보위 인력은 154명이고, 예산 역시 350억원 정도에 불과한 것으로 알고 있다. 실제로 개인정보분쟁조정 등에는 평균 400일 이상 걸리는 상황이다. 이 때문에 국민이 우리 개인정보는 보호되지 않는다고 유려할 수도 있다"고 말했다.
윤 위원장은 "오는 2025년까지 데이터 규모는 175ZB에 이를 것으로 전망하며, 이 중 70%가 개인정보일 것으로 보고 있다. 데이터 시대에 개인정보 처리량은 엄청나며, 이는 데이터 시대의 동력이 될 전망이다. 개인정보위는 이러한 문제를 고민할 수 있는 전담기관이다. 현재 역량은 부족하지만, 이를 시스템 문제라고 생각하며, 데이터 활용과 보호를 위한 새로운 패러다임을 만드는 데 역점을 둘 것"이라고 말했다.
윤 의원은 "개인정보 유출 사고가 발생하거나 국민이 권리를 침해받은 경우 개인정보위에 신고하는데, 한 건당 평균 처리기간이 400일이 넘는다. 특히 페이스북이 정보주체 동의 없이 제3자에게 개인정보를 제공한 사건은 신고부터 처리까지 967일이나 걸렸다. 디지털 기기에 담긴 정보는 특성상 한 번 유통되면 걷잡을 수 없는 속도로 퍼진다. 데이터 중심 사회에서 침해 이슈가 늘어나는 상황인데, 개인정보위 조직 당시 이러한 사태를 생각하지 못했나"라고 질의했다.
윤 위원장은 "개인정보위 출범 이후 관계부처에서 이관된 사건까지 처리하면서 오랜 시간이 걸렸다. 개인정보위는 전문성을 강화하고, 내년에는 인력을 12명 정도 늘릴 계획이다. 이를 통해 지금보다는 상황이 나아질 것이라 전망한다"고 말했다.
다크웹에서 불법유통되는 개인정보, 어떻게 막아야 하나
더불어민주당 민형배 의원에 따르면 다크웹을 통해 개인정보가 마구잡이로 유통되고 있다. 국내 신용카드 관련 정보를 검색하면 179만357건의 결과가 나오며, 국내 H 은행이 발행한 카드도 14만개 이상 확인할 수 있다. 특히 카드번호, 보안번호(CVV/CVC), 유효기간 등 카드 주요 정보까지 유통되고 있다.민형배 의원은 "카드정보뿐만 아니라 국내 공공기관 이메일(아아디)과 비밀번호 역시 다크웹에 떠돌아다닌다. 주요 국가기관과 10개와 관련한 정보는 3만8023개로, 금전적 피해뿐만 아니라 국가 안보까지 위협할 수 있는 상황이다. 이는 각 기관 보안관리 체계가 잘 작동하지 않는다는 의미"라며 대응책 마련을 요구했다.
정보통신정책연구원 권호열 원장은 "중요한 문제라고 생각한다. 개인정보 정책과 보호문제는 마이 데이터로 사업에서 중요한 요소이기 때문에 개인정보보호를 더 강화할 필요가 있다. 기관 전수조사나 대책마련은 물론, 상시점검이 이뤄질 수 있도록 기능적으로 보완하겠다"고 말했다.
과학기술정책연구원 문미옥 원장은 "국가적 발전 전략이나 핵심적인 전략 기술 정책 등을 외부에서 공격해 유출할 수 있다. 이러한 문제는 개별 연구원의 기능으로 한정해 대응하기보다는, 국책연구기관과 각 부처별로 돼 있는 전문기관이 협력해 종합적으로 대응할 수 있는 시스템적 접근이 필요하다. 특히 해킹 기술이 발전하는 만큼 단순히 이를 따라가는 접근방식으로는 한계가 있어 새로운 기술을 적극적으로 도입해 시스템을 구축해야 한다"고 말했다.
아동·청소년 개인정보보호에도 집중해야
더불어민주당 진선미 의원은 "아동·청소년 정보주체권에 대해서도 논의해봐야 한다. 이들의 인터넷 사용률은 100%에 가까우며, 미취학 아동 역시 80%가 인터넷을 이용하는 상황이다. 이 가운데 아동·청소년의 개인정보를 어떻게 보호해야 하는지 고민해주길 바란다. 가령 10대가 주로 이용하는 틱톡의 경우 개인정보 무단수집과 국외이전이 문제가 되기도 했다. 때문에 아동·청소년 본인이 정보주체권에 대해 인식할 수 있도록 교육이 추진돼야 한다"고 말했다.윤 위원장은 "아동·청소년 개인정보 보호에 관한 연구작업을 진행 중이며, 올해 안에 가이드라인을 만드는 것이 목표다. 여가부, 교육부 등 관계부처와 협의해 교육 프로그램도 구상하면서 적극적으로 대책을 만들겠다"고 답했다.