[연속토론회7/26(수) 2시] 당신의 사생활을 삽니다? -빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가

지역

[연속토론회7/26(수) 2시] 당신의 사생활을 삽니다? -빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가

익명 (미확인) 님 | 화, 2017/07/25- 12:54

「 ‘4차 산업혁명’과 정보인권 」 연속토론회2

7월 26일(수) “빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가”

현행 개인정보보호법제의 문제점을 짚어보고, 빅데이터 시대 개인정보 보호원칙과 정보주체의 권리를 보장할 수 있는 법제 개선 방안을 모색

일시 및 장소 2017년 7월 26일(수) 오후2시-4시, 국회 의원회관 제2세미나실

국회 미래창조과학방송통신위원회 변재일(더불어민주당, 충북 청주시청원구), 김성수(더불어민주당, 비례대표), 추혜선(정의당, 비례대표), 국회 안전행정위원회 진선미(더불어민주당, 서울 강동구갑), 권은희(국민의당, 광주 광산구을), 이재정(더불어민주당, 비례대표) 의원과 언론개혁시민연대, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 함께하는시민행동 등 시민사회단체가 공동으로 주최하는 「 ‘4차 산업혁명’과 정보인권 」 연속토론회가 5차에 걸쳐 개최되고 있습니다.

국가인권위원회가 후원하는 이번 연속토론회는 문재인 정부 공약 사항인 ‘4차 산업혁명’과 ‘개인정보 보호 강화’를 조화시키고 미래 신기술로부터 국민의 정보인권을 보호할 수 있는 방안을 모색하고자 ▲정보·수사기관과 미래 신기술 ▲빅데이터 활용과 개인정보 보호의 바람직한 균형 ▲‘4차 산업혁명’ 시대 개인정보보호 컨트롤타워 ▲프로파일링 규제 등 빅데이터 시대 이용자의 권리 ▲자율주행차량, 사물인터넷 환경과 사이버 보안에 대해 논의할 예정입니다.

‘정보·수사기관과 미래 신기술, 어떻게 만나야 하는가’를 주제로 이호중 교수(서강대학교 법학전문대학원, 정보인권연구소 이사장)가 발제를 맡은 지난 24일 제1차 토론회는 진지한 분위기 속에 무사히 마쳤습니다.

7월 26일(수) 오후2시 국회의원회관 제2세미나실에서 연달아 개최될 제2차 토론회는 ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 열립니다. 연구목적 개인정보 이용 관련 규정에 대하여 개선을 제안하는 등 빅데이터의 합리적 활용 차원에서 현행 개인정보 보호법제의 보완 방안을 검토합니다. 다만 일방적인 규제완화가 아니라 정보주체의 개인정보 자기결정권을 합리적으로 보호하여 빅데이터 활용과의 균형을 모색할 예정입니다.

성균관대학교 법학전문대학원 김일환 교수가 사회를 맡은 가운데, 이은우 변호사(정보인권연구소 이사)가 발제를 맡고 고학수 교수(서울대학교 법학전문대학원), 이상윤 책임연구위원(연구공동체 건강과대안) 및 개인정보보호위원회와 한국인터넷진흥원에서 토론에 참여할 예정입니다.

발제를 맡은 이은우 변호사는 우선 빅데이터와 사물인터넷 시대를 앞두고 우리나라에서 다양하게 제기되고 있는 규제완화론, 보호강화론 및 국회 제출 개인정보 관련 법률안들을 검토 및 평가하였습니다. 발제자는 현행 개인정보보호법제의 경우 △개인정보보호원칙이 실종되고 형해화된 규정만 남음 △개인정보처리자에게 치우친 감독기관 및 집행체계의 문제가 있다고 진단하고 전면적 법률 개정이 필요하다고 평가하였습니다.

즉, 개인정보주체의 통제권 강화, 이를 위한 투명성 강화, 개인정보 보호 친화적인 기술 발전, 개인정보 주체 권리구제 등을 위한 법제도의 전면적인 개편이 필요하다는 것입니다. 다른 한편으로 공익적 연구 목적의 개인정보 활용에 대한 예외 규정 도입 등 경직된 형식적인 법률 규정의 완화 필요성도 조심스럽게 제기합니다.

무엇보다 발제자는 개인정보 보호원칙을 보완 및 구체화하여 실질적인 규범력을 갖도록 하고, 개인정보 주체의 동의권을 실질적으로 보장할 것을 주장하였습니다. 더불어 프로파일링과 자동화된 결정에 대한 규정, 개인정보 이전권, 프라이버시 중심 설계 등 유럽에서 새로 도입되는 제도를 참고하여 우리나라의 개인정보보호법제를 전면적으로 개선할 것을 제안하였습니다.

보도자료 [원문/ 다운로드]

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

금융위 빅데이터 활성화 방안에 대한 시민단체 입장

금융소비자 보호는 외면한 금융위,

무분별한 빅데이터 활용 계획 즉각 중단하라

- 개인정보 보호의 기본원칙마저 무시한 「신용정보법 시행령」 개정 계획 -

- 금융소비자의 안전을 위해 개인신용정보 강화 방안 모색 우선돼야 -

지난 3일 금융위원회(이하 금융위)는 금융회사와 핀테크 기업의 동반성장 토대를 구축하기 위한 ‘빅데이터 활성화 방안’을 발표했다. 금융위는 「신용정보의 이용 및 보호에 관한 법률 시행령」(이하 「신용정보법 시행령」) 개정 및 유권해석을 통해 비식별화한 정보는 보호대상인 개인신용정보에서 제외함으로써 금융회사들이 이를 빅데이터 업무에 활용할 수 있도록 하겠다는 계획이다.

현행 「신용정보법」에서 개인신용정보는 비식별화 여부와 무관하게 보호되고 있다. 하지만 금융위는 여러 차례 대규모 개인정보 유출 사태로 인한 국민들의 규제강화 요구 흐름과는 반대로, 빅데이터·핀테크 산업 활성화라는 미명하에 무분별하게 관련 규제를 풀려 하고 있다.

경실련 소비자정의센터와 진보네트워크센터는 경제활성화·산업육성에 매몰돼 금융소비자보호는 전혀 고려치 않은 금융위에 위 방안을 즉각 철회할 것을 촉구한다.

개인정보 비식별화와 관련하여, 지난해 방송통신위원회의 「빅데이터 개인정보보호 가이드라인」 발표 때부터 지속적으로 재식별 위험가능성에 대한 지적이 이어지고 있다. 또한 보다 강화된 개인정보 보호를 위해서 *비식별화가 아닌 **익명화 처리가 돼야 한다는 주장도 지속되고 있다.

하지만 금융위는 위와 같은 논의는 뒤로 한 채, 시행령 개정을 통해 종부가 의도하는 데로 문제를 해결하려 하고 있다. 최근 국회법 개정 논란의 상황 속에서 정부가 개인정보 보호를 목적으로 제정한 「신용정보법」의 취지에 반하고, 나아가 시민들의 요구와 의지에도 반하는 정책을 추진하는 것은 시민과 법을 제정한 국회를 무시하는 행태에 불과하다.

이에 우리는 금융소비자들의 개인신용정보 보호를 위해 아래와 같이 주장한다.

첫째, 금융위는 「신용정보법 시행령」 개정 계획을 즉각 중단하라. 비식별화를 명분으로 개인정보를 빅데이터에서 무분별하게 활용할 수 있게 하는 것은, 향후 발생할 수밖에 없는 금융소비자들의 개인신용정보 유출 피해를 방치하는 것에 불과하고 대규모 개인정보 유출피해를 여러 법 경험한 국민들을 불안하게 하는 처사이다. 개념과 내용도 모호한 비식별화에 대해 어떠한 사회적 합의도 되지 않은 상태에서 정부가 일방적으로 밀어붙이는 행위를 즉각 중단해야 한다.

둘째, 종합신용정보집중기관 운영에 따른 개인신용정보 보호 대책을 즉각 마련하라. 금융위는 5개 협회의 신용정보집중기관을 2016년 3월까지 종합신용정보집중기관으로 통합할 계획이다. 하지만 ‘세계 최초’ 통합 사례라는 타이틀과 운영에 따른 효율성만 내세울 뿐, 개인신용정보의 과도한 집중에 따른 위험성과 개인정보 유출 방지대책 등에 대해서는 간과하고 있다. 현재의 상태에서 정보집중기관에 개인신용정보가 모두 통합된 후, 또 다시 대규모 개인정보 유출사고가 발생한다면 그 피해는 감히 상상할 수 없는 수준에 달할 것이다.

마지막으로 빅데이터 산업을 활성화 하더라도 금융소비자들의 ‘실질적인’ 개인정보자기결정권을 보장해야 한다. 개인신용정보 보호를 위해 비식별화 여부와 상관없이 모든 개인신용정보의 수집·처리·활용 등을 할 때에는 금융소비자들이 실질적으로 직접 동의하고 선택해야 한다. 나아가 원하지 않을 시 이를 거부할 권리 역시 기본적으로 보장할 수 있는 장치 등이 최우선적으로 마련돼야 한다.

개인정보 보호를 위한 각종 법령들은 빅데이터 활용을 가로막고 있는 제약사항이 아닌, 소비자들의 개인정보를 보호하기 위한 최소한의 장치이다. 정부가 이를 망각한 채 규제 완화에만 치중할 경우, 심각한 사회적 혼란과 소비자 피해를 야기할 것이라는 것을 반드시 명심해야 한다.

*‘비식별화’란 개인정보가 식별되지 않도록 일종의 암호화 등의 작업을 거치는 것을 의미. 하지만 재식별 가능성이 있어 안전성을 보장할 수 없음

**‘익명화’란 개인정보가 개인을 식별할 수 없는 상태이거나, 식별할 수 없도록 회복 불가능하게 변경하는 것을 의미

경실련 소비자정의센터, 진보네트워크센터

경실련, 금융위원회, 금융소비자, 빅데이터, 신용보호법, 핀테크

금, 2015/06/05- 11:32

1,120

인터넷실명제 부활시키는 개정 전자상거래법, 영세 게시판 운영자에게도 무거운 이용자 감시의무 지워

인터넷실명제 부활시키는 개정 전자상거래법

영세 게시판 운영자에게도 무거운 이용자 감시의무 지워

지난 3월 29일 통과되어 9월 30일부터 시행예정인 전자상거래 등에서의 소비자보호에 관한 법률(약칭: 전자상거래법)의 제9조의2는 “전자게시판서비스 제공자의 책임”을 규정하고 있다. 이 조항은 오픈넷이 지속적으로 문제를 제기해 온 정보매개자에게 애매모호한 책임을 지워 인터넷을 망가뜨리는 법이다. 즉, 아동청소년의 성 보호에 관한 법률상의 아동음란물 필터링 의무(제17조 제1항)처럼, 정보유통을 매개할 뿐인 OSP 내지 플랫폼 사업자들에게 이용자의 정보유통 행위에 대해 책임을 지워 결과적으로 사업자들이 이용자들을 검열하고 감시하게 만드는 제도이다.

전자상거래법 제9조의2를 보면 전자게시판서비스 제공자는 게시판 이용자들 중 통신판매업자 또는 통신판매중개업자에 대해 준법권고를 하고, 이들과 소비자 사이에 분쟁이 발생하면 소비자의 피해구제신청을 대행해야 한다. 이러한 의무를 이행하지 못할 시 공정거래위원회는 제공자에게 시정조치를 명하거나 과태료 최대 1천만원을 부과할 수 있다. 또한 서비스 제공자들은 통신판매를 하는 이용자들의 신원을 확인해서 신원정보를 수집한 뒤 공정거래위원회(이하 ‘공정위’) 등에서 요청하면 신원정보를 제공할 의무도 있다.

제19대 국회에서 김용태 의원에 의해 발의된 동 법안의 입법취지를 보면, 카페·블로그 등을 통한 통신판매 증가에 따라 소비자 피해도 증가하고 있으므로, 이러한 서비스를 통해 이익을 누리고 있는 포털 사이트 등에게 위법한 전자상거래가 일어나지 않도록 관리하는 등 일정한 책임을 부여하고자 함에 있다고 한다. 취지 자체는 그럴듯하나, 그 내용은 통신판매로부터 직접적 이익을 얻는 오픈마켓이나 쇼핑몰 사업자가 아닌 포털 사업자나 게시판 운영자들이 그런 공간을 열었다는 이유만으로 모든 이용자들의 신원을 확인하고 위법한 상거래가 일어나지 않도록 감시하라는 것이다. 이러한 의무는 사업자를 위축시켜 해당 산업과 온라인에서의 자유로운 정보공유를 저해할 뿐 아니라, 이용자의 개인정보자기결정권과 익명표현의 자유도 침해한다.

첫째, “준법권고”나 “신청대행 장치 마련”은 마치 아청법, 전기통신사업법, 저작권법에 명시된 ”기술적 조치”처럼 무엇을 해야 제재를 피할 수 있는지 불분명하다. “준법권고”라 함은 단지 ”법을 잘 지켜달라”고 하면 되는 것인지 법적 검토를 거쳐 권고를 해야 하는 것인지, “신청대행”이라 함은 소비자들을 법적으로 대리를 하라는 것인지 신청만 전달하면 되는 것인지 불분명하다. 게다가 “그 밖에 소비자피해를 방지하기 위하여 필요한 사항”이라는 것은 너무 광범위하고 막연하다. 결국 사업자가 부담하는 의무의 세부사항은 공정위의 재량에 달려있는 것이다. 여기서 발생하는 예측불가능성과 비용은 인터넷에 장터를 열려는 정보매개자들을 위축시키거나, 정보매개자들이 법률위반을 피하기 위해 과도하게 게시판을 감시·검열하게 만들 것이다.

둘째, 이러한 의무를 단지 네이버나 다음과 같은 거대 포털뿐만 아니라 모든 전자게시판서비스 제공자에게 부과한 것은 대부분의 웹사이트들이 게시판 이용자간의 거래로부터 얻는 이익이 거의 없다는 점을 간과했다. 영세한 웹사이트들은 이러한 부담을 피하기 위해 궁극적으로는 게시판 서비스를 축소하거나 폐지하게 될 것이다. 예컨대 카메라 동호인들이 모여 만든 웹사이트에서 중고 카메라 거래가 이루어지고 있다면 웹사이트 운영자는 바로 준법권고를 하고 분쟁대행절차를 마련해놓아야 하는데, 이러한 거래로부터 아무런 직접적 이익도 얻지 못하는 운영자는 거래를 아예 못하게 하거나 나아가 게시판을 막아버리는 쪽을 택해야 하고, 최후에는 웹사이트를 닫아야 할지도 모른다. 이렇듯 동 법은 전자게시판 서비스 산업을 위축시키고, 이용자들이 게시판을 이용해 판매정보를 공유할 자유를 제약할 위험이 매우 크다.

셋째, 서비스 제공자에게 성명, 주소, 전화번호 등의 신원정보를 확인하기 위한 조치를 취하고 분쟁이 생길 경우 신원정보를 제공할 것을 의무화한 것은 2012년 위헌으로 결정난 인터넷실명제의 부활에 다름 아니다. 왜냐하면 서비스 제공자의 입장에서는 ’프로슈머’의 시대에 어떤 이용자가 통신판매업자 내지 통신판매중개업자인지 알기 어려워 모든 이용자를 상대로 신원확인 조치를 취하게 될 수밖에 없기 때문이다. 통신판매업자란 “통신판매를 업으로 하는 자 또는 그와의 약정에 따라 통신판매업무를 수행하는 자”라고 하는데, 이에 대해서는 명확한 기준이 없으며, 통신판매중개업자도 범위가 넓기는 마찬가지이다. 더 큰 문제는 이렇게 수집한 신원정보를 소비자피해분쟁조정기구나 공정위 등이 사법기관의 검토나 영장 없이 제공받을 수 있게 함으로써 통신자료 제공과 같이 이용자의 프라이버시와 익명표현의 자유를 침해한다는 점이다.

인터넷은 ‘프로슈머’의 시대를 불러왔다. 개인이 소비자이기도 하고 판매자이기도 한 사회이다. 블로그에 글을 쓰거나 유튜브에 영상을 올려 돈을 벌고, 포털 카페를 통해 공동구매를 하거나 중고물품을 거래하는 등 정보기술을 통해 종래 없었던 소득창출수단이 계속적으로 만들어지고 있다. 그런데 이러한 프로슈머들이 정보를 주고 받는 수단을 제공했다는 이유만으로 사업자에게 이런 저런 의무를 부과하는 것은 결국 해당 산업을 저해하고 모든 이용자의 권익과 자유를 침해하게 된다. 특정 플랫폼을 불법적으로 이용한 자를 찾아내 수사하고 처벌하는 것은 정부의 역할이지 사업자의 역할이 아니다. 공정위에게 전자상거래법 제9조의2를 폐지할 것을 촉구한다.

2016년 6월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

논평/보도자료, 표현의 자유, 프라이버시, OSP, 개인정보자기결정권, 공정거래위원회, 공정위, 익명표현의자유, 인터넷실명제, 전자게시판, 전자상거래법, 정보매개자책임, 플랫폼사업자

금, 2016/06/10- 11:29

780

경찰, 불법으로 위치추적…“더 높은 기관도 사용한다”

국정원 해킹사건으로 국가기관의 내국인 불법사찰 의혹이 제기되고 있는 가운데, 경찰이 국가보안법 위반 혐의자를 수사한다며 법원의 영장 없이 중국에 거주하는 내국인의 차량에 위치추적기를 장착해 감시활동을 한 사실이 뉴스타파 취재결과 확인됐다.

경찰 지시로 공작원이 장기간 내국인 위치 추적

대공수사 협조자로 오랜 기간 활동해 온 이상철(가명) 씨는 지난 27일 뉴스타파 취재진과 만나 “지난 2013년 10월부터 두 달 간 인천해양경찰청 보안수사대 김모 경위의 의뢰를 받아 중국에 체류하는 한 한국인 사업가의 차량에 중국인을 시켜 몰래 위치추적장치를 부착하고 동선을 파악해 왔다”고 밝혔다.

범죄 혐의자라도 위치추적기를 사용해 감시하려면 법원에서 압수수색 영장을 발부 받아야 한다. 해외에서 진행하는 수사라면 해당 국가의 사법당국에 협조를 얻어 수사해야 한다. 경찰은 이런 절차를 모두 생략하고 임의로 위치추적을 협조자에게 지시한 것으로 확인됐다.

일반적으로 GPS위치추적기는 통신사에 등록해 사용한다. 하지만 이번에 경찰이 공작원에게 제공한 위치추적기는 이런 등록절차 없이 사용할 수 있는 제품이었다. 등록을 하지 않으면 발각되더라도 장치 구매자의 신원이 드러나지 않는다.

2015073001_01

이 씨는 “김 경위가 위치추적기 운용 주체를 절대로 들키면 안 된다고 신신당부 했다”며 “김 경위가 ‘만약 위치추적기가 걸릴 때를 대비해 도주할 수 있는 방법을 마련해 놓고, 도주가 안 될 경우에는 끝까지 부인하고, 절대 운영 주체가 대한민국이라는 사실을 눈치채지 못 하게 하라’고 지시했다”고 증언했다.

이 씨는 위치추적기를 현지 중국인들을 시켜 감시 대상자의 차량 뒷범퍼 안 쪽에 부착했다. 보름에 한 번씩 장치를 떼내 대상자의 동선기록을 확보했다. 누적된 기록은 한국에 있는 김 모 경위에게 보냈다.

그렇게 두 달 간 감시를 벌였지만 결정적인 단서는 확보하지 못했다. 이 씨는 “감시 대상자가 북한에 넘어가는 것을 포착하려는 것이 목적이었으나 두 달 동안 그런 정황은 확보하지 못 했다”며 “아무리 간첩을 잡기 위한 목적이라도 법을 어겨가면서 수사를 하는 것은 타당하지 않다고 생각해 자신은 수사협조에서 빠지게 됐다”고 말했다.

2015073001_02

현재 김 경위는 해경이 해체된 이후 인천 중부경찰서로 자리를 옮긴 상태다. 취재진은 왜 불법적인 방법으로 수사를 벌였는지 해명을 듣기 위해 경찰서를 찾아갔지만 김 경위는 만남을 피했다.

대신 기자와의 메신저 대화를 통해 “감시 대상자의 사무실이 허허벌판에 있어 추적이 어려워 위치추적기를 사용하게 됐다”며, “대상자의 동선 파악을 통해 채증을 하려고 했을 뿐 불법적으로 수집한 위치정보를 절대 증거로 이용하지는 않았다”고 말했다. 불법적인 방법으로 수사한 점을 사실상 인정하면서도 국가안보를 위한 불가피한 선택이었다는 것이다. 김 경위는 또 “당시 수사에 윗선의 개입은 없었다”고 강조했다.

이에 대해 박경신 고려대 법학전문대학원 교수는 “국내 수사라면 압수수색 영장을 발부 받아 위치 추적을 하면 되는 것이고, 중국이라면 중국의 사법당국의 협조를 받아 수사를 진행했으면 될 일”이라며 “이는 명백히 위치정보 보호법상 처벌대상”이라고 지적했다.

“경찰 뿐만 아니라 더 높은 국가기관도 위치추적기 구매”

이번 사건에서 경찰이 공작원에게 제공한 위치추적기를 판매한 업체 홈페이지에는 주요 거래처로 경찰청이 소개돼 있다. 이 업체 관계자는 홍보용으로 경찰청을 소개했을 뿐 실제로 납품하지는 않았다고 말했다. 경찰청 보안과 관계자도 “경찰에서 위치추적기와 같은 장치를 구매한 적도 없고 수사에 사용한 적도 없다”며 “휴대폰이나 CCTV 등이 아닌 위치추적기 등을 이용한 수사는 첩보영화에나 나오는 일”이라고 말했다.

2015073001_03

하지만 위치추적기를 취급하는 업체들의 홈페이지에는 주요 거래처에 주로 경찰이 적혀있고, 청와대가 나오는 경우도 많다. 익명을 요구한 한 위치추적기 업체 관계자는 “최근에만 관공서에 100대 이상의 위치추적기를 팔았다”며 “실제 경찰이 수사 목적으로 위치추적기를 구매해 간 적도 있다”고 밝혔다. 그러면서 그는 “경찰 뿐만 아니라 더 높은 국가기관도 위치추적기를 구매한 적이 있다”고 말했다. 더 높은 국가기관이 정보기관이냐는 질문에는 “거기까지 자세하게 (말하기) 어렵다”고 대답을 피했다.

또 다른 위치추적기 업체 관계자는 “원래 위치추적기는 기업의 차량이나 영업관리용으로 나온 것인데, 간혹 악용하는 사례가 있다”며 “관공서 등 많이 납품하고 있지만 그들이 사가는 목적을 분명히 밝히지 않기 때문에 우리는 어떤 목적으로 쓰는 지 알 길도 없고 막을 길도 없다”고 설명했다.

그러나 실제 수사기관이 GPS위치추적기를 불법적으로 사용한 것이 드러난 만큼, 또 다른 사례는 없는지, 국가기관이 위치추적기를 구매한 목적은 무엇이었는지 조사가 필요한 상황이다. 민주화를 위한 변호사모임의 박주민 변호사는 “최근 국정원 해킹사건처럼 국가기관이 안보를 앞세우면서 국민의 기본권 침해 소지가 있는 행위를 정당화 하는 경우가 늘고 있다”며 “아무리 필요에 의한 수사라도 현행법을 어겨가면서 하는 것은 법치를 내세우는 국가기관의 형용모순”이라고 지적했다.

목, 2015/07/30- 20:52

759

[초대] 쌍용자동차 해고노동자 이야기를 담은 다큐 <안녕 히어로> 상영회

<안녕 히어로> 상영회에 초대합니다

"오늘날의 노동현실을 돌아보게 하는 올해의 다큐멘터리"
손잡고 X 참여연대 X 천주교인권위원회가 <안녕 히어로>의 특별한 상영회에 당신을 초대합니다!

<안녕 히어로>(연출 한영희)는 ‘쌍용 자동차’ 해고 노동자들의 이야기를 담아낸 다큐멘터리입니다. 첫 번째 국내 개봉 작품으로, 해고 노동자 아빠의 삶을 점차 이해하게 되는 소년 ‘현우’의 시선을 통해 세상을 바라보는 이야기 입니다. 응원의 마음을 모아 [손잡고 X 참여연대 X 천주교인권위원회]가 마련한 특별 상영회에 당신을 초청합니다.

>> 상영회 일정

- 일시: 9/11(월) 저녁 7시 30분

- 장소: 인디스페이스 (서울 종로 서울극장 내)

＊상영 후, '관객과의 대화'가 진행됩니다.

진행: 김덕진 천주교인권위원회 사무국장

참석: 한영희 감독, 김득중 금속노조 쌍용자동차지부 지부장, 하이디스지회 이상목 지회장

>> 응모 페이지

※ 본 응모 페이지를 통해 성함(소속 단체), 연락처, 신청 매수를 기입 해주세요.

※ 9/8(금) 오후 17시까지 신청이 가능합니다.

※ 신청해주신 분들 중, 추첨을 통해 초대해 드릴 예정입니다. (초청 관객 분들께 문자 발송)

※ 특별상영회 참여문의는 시네마달 (02-337-2135) 앞으로 부탁드립니다.

안녕히어로 포스터

쌍차, 상영회, 안녕 히어로ㅡ, 권력감시

화, 2017/09/05- 15:46

670

“RCS 로그기록도 조작 가능…운영체제 전부 분석해야”

국정원이 민간인 해킹 의혹을 풀 핵심 열쇠인 로그파일 공개를 계속 거부하고 있는 가운데, 보안 전문가들은 국정원 RCS 로그파일이 이미 위변조되었을 가능성도 있다는 견해를 밝혔다. 이에 따라 완전한 의혹 해소를 위해서는 로그파일만이 아니라 국정원 RCS의 운영체제, 즉 하드디스크까지 객관적으로 분석해 원본 파일에 조작이 있었는지 여부를 검증할 필요성이 제기되고 있다.

‘로그파일 공개’는 ‘민간인 해킹 검증’의 핵심

국정원 해킹 의혹의 본질이 국내 민간인에 대한 해킹 여부라는 것은 주지의 사실이다. 이를 판가름할 핵심 정보는 국정원 RCS 서버에 담긴 로그기록 속에 들어 있다.

이미 해킹팀 유출 자료 가운데 지난 5월과 6월 중 국정원이 요청한 악성코드의 활동이 담긴 로그기록이 26건이 확인된 바 있는데, 악성코드의 활동 일시, 접속 아이피, 단말기 모델 및 기종, 설정 언어, 미끼 URL, 감염 성공 여부까지를 확인할 수 있는 형식이었다. 이 가운데 2건은 내국인 해킹이 의심되는 기록이다.

※ 관련 데이터 : 해킹팀 서버 국정원 로그기록

사태 초기 야당은 국정원에 이 로그파일을 제출하라고 요구했다. 대국민 해킹이라는 휘발성 높은 의혹이 일었던 만큼 여당 역시 최대한 국정원이 자료를 공개하도록 협조하겠다는 입장이었다.

▲ 7월 18일 국정원 직원 임 과장 자살 현장

그러나 7월 18일 RCS 운영팀의 일원이었던 국정원 임 모 과장이 유서에 ‘일부 자료를 삭제했다’고 밝히며 스스로 목숨을 끊으면서 분위기가 바뀌었다. 야당이 자살 배경과 경위에 대한 석연치 않은 정황들을 이유로 공세를 강화하자 여당은 입장을 바꾼다. 로그파일 공개는 국가 기밀을 유출하라는 것이고 국가 안보를 무장해제하라는 것이어서, 북한만 이롭게 하는 행위라는 논리로 맞공세를 시작한 것이다.

▲ 7월 27일 국회 정보위원회에 참석한 이병호 국정원장

7월 27일 국정원은 임 과장이 삭제한 자료를 10일 만에 모두 복원했다며 국회 정보위원들에게 보고한다. 모두 51건의 해킹 시도 기록 가운데 대북·대테러 용의자를 대상으로 10건은 성공, 10건은 실패한 자료였으며, 나머지 31건은 내부 실험용 기록이었다는 것이다. 그러면서 이병호 국정원장은 자신의 직을 걸고 국내 사찰은 없었다고 강변했다. 그러나 야당은 국정원이 이른바 ‘셀프 검증’으로 ‘셀프 면죄부’를 발부하고 있다며, 객관적이고 세부적인 자료 제출 없이는 믿을 수 없다고 반발했다.

보안 전문가들의 견해는? “로그파일 이미 위변조됐을 수도”

국정원 해킹 의혹을 둘러싼 이 같은 여야 간 대치 정국을 국내외 보안 전문가들은 어떻게 바라보고 있을까. 뉴스타파가 접촉한 전문가들은 하나같이 의혹을 말끔히 해소하기 위해 필요한 것은 정치적 공방이 아니라 냉정한 기술적 접근이라고 조언했다.

우선 이들은 임 과장의 자료 삭제 문제는 큰 틀에서 볼 때 중요치 않을 수도 있다는 점을 언급했다. 내국인 사찰 여부를 가를 핵심은 어차피 로그파일인데, 해킹팀 자료 유출 이후 이미 20일 이상 흐른 시점에서 임 과장이 아닌 다른 국정원 직원이 로그파일에 손을 댔어도 이상할 것이 없기 때문이라는 것이다.

▲ 뉴스타파와 빌 마크잭의 화상 인터뷰 장면

이탈리아 해킹팀의 RCS가 전세계 21개국에서 활동하고 있음을 지난해 폭로했던 토론토대학 시티즌랩 연구원 빌 마크잭은 뉴스타파와의 화상 인터뷰에서 “로그파일은 기본적으로 텍스트 파일 형태이므로 누구라도 쉽게 편집과 삭제와 추가 등의 조작이 가능하다”며 “이런 조작이 있었는지를 디지털 포렌식 전문가조차 알 수 없게 수행하는 것도 얼마든지 가능하다”고 밝혔다.

익명을 요구한 한 국내 디지털 포렌식 전문가는 “디지털 포렌식에도 ‘골든타임’이 존재한다”면서 “해킹팀의 자료 유출 직후 국정원 RCS 서버에 담긴 로그파일을 곧바로 확보하지 않은 이상, 지금 와선 그 파일에 이미 어떤 조작이 가해졌는지를 판단하긴 어렵다”고 말했다.

▲ 김진국 플레인비트 대표와의 인터뷰 장면

이런 상태에서는 야당이 요구하는 로그파일이 공개된다 해도 의혹을 해소하기는커녕 되레 논란을 증폭시킬 수 있다는 견해도 있었다. 김진국 플레인비트 대표는 “디지털 자료는 위변조가 너무나 용이하다. 따라서 어떤 디지털 데이터의 ‘원본’이라는 것은 특정 시점에서 데이터의 특정 상태에 관해 이해 당사자 간의 상호 인정이 있을 때, 혹은 객관적 인증 절차(전자지문 등)가 있었을 때 성립하는 개념이다. 바꿔 말하면 이런 절차 없이 제시되는 디지털 자료는 이해 관계에 따라 ‘원본’이라고 주장할 수도 있고 아니라고 주장할 수도 있게 되는 것”이라고 설명했다. 즉 지금 당장 로그파일이 공개됐을 때 문제되는 내용이 없으면 여당은 ‘원본’으로 야당은 ‘조작본’으로 규정할 것이며, 문제되는 내용이 나오면 그 반대 주장이 펼쳐질 것이라는 의미다.

“로그파일 조작 여부 판단 위해 운영체제 전부 들여다 봐야”

전문가들은 이런 문제를 해결하기 위해선 로그파일만이 아니라 파일이 담겨 있던 국정원 RCS 서버의 운영체제를 모두 분석해 위변조 여부부터 판단해야 한다고 조언했다.

▲ 운영체제 검증 개념도 CG

원리는 이렇다. 만약 누군가가 로그파일 일부를 변조했다면 파일을 열고, 내용을 수정하고, 저장하고, 파일을 닫는 일련의 과정을 거쳐야 하는데 각각의 단계마다 디지털 기호 형태의 흔적이 운영체제 어딘가에 남겨진다는 것이다. 혹은 파일을 열지 않은 채로 삭제하려면 이 기능을 수행하는 소프트웨어나 프로그램이 실행되어야 하는데 이 역시 운영체제 어딘가에 흔적을 남긴다. 이런 산재한 정보들을 모두 긁어모아 분석하면, 로그파일이 위변조되기 이전의 원 정보를 복원시킬 수는 없더라도 최소한 조작이 있었다는 사실은 확정할 수 있다는 것이다.

이 파일이 만약에 어떻게 수정이 되거나 사용자가 어떤 행위를 했다, 그러면 그 시스템, 우리가 윈도우즈 컴퓨터라고 하면 컴퓨터 자체, 서버면 서버 자체, 그 디스크 자체가 전체적으로 있으면 그 안에 있는 로그파일에 어떤 임의적인 조작을 가했다 안 했다(를 알 수 습니다.) 사실 이것도 시간이 지나면 밝혀내기가 어렵습니다. 그래도 어느 정도 파일 하나만 보고 판단하는 것보다는 신빙성 있게, 신뢰성 있게 판단할 수 있죠.
– 김진국 플레인비트 대표

포렌식 분석을 제대로 하기 위해선 해킹팀의 소프트웨어가 실행됐던 국정원 컴퓨터의 원본 하드 드라이브를 확보해야 합니다. 만약 국정원이 로그파일만을 제공한다면 그것의 조작 여부를 확인할 확실한 방법은 없다고 봐야 하고요.
– 빌 마크잭 토론토대학 시티즌랩 연구원

국정원, 국민 신뢰 회복할 마지막 기회 잡을 수 있을까

지난 29일 여야는 민간 추천 전문가와 국정원 기술진의 간담회 개최에 조건부 합의했다. 이때 야당은 국정원이 RCS 데이터가 담긴 하드디스크 원본 등 6개 자료가 제출되지 않으면 합의를 파기하겠다는 뜻을 밝혔다. 이는 디지털 보안과 포렌식 전문가들이 제시한 검증 방식의 틀에 부합하는 것이다.

마찬가지로 국정원도 민간인 사찰 의혹을 근본적으로 해소하는 데 필수인 디지털 증거를 제시하는 데 주력할 필요가 있다. 특히 국정원장 직을 걸겠다고 밝힐 정도로 자신이 있다면 전문가들이 인정하는 검증 방법을 마다할 이유가 없을 것이다. 그리고 그 결정은 빠를수록 좋다. 이미 대선 개입과 간첩 증거 조작으로 국민의 신뢰를 잃은 국정원이기에 더더욱 그렇다.