“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

2016년 7월 19일

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

[2차 모집]

이통3사 개인정보 열람 실태 연구에 참여해주세요!

오픈넷은 캐나다 토론토대학교의 시티즌랩 연구소와 함께 “AMI(Access My Info)” 연구를 진행하고 있습니다. AMI는 통신회사들이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트입니다.

우리나라 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 제2항에 의하면 이용자는 이통사가 가지고 있는 자신의 개인정보에 대한 열람을 요구할 수 있으며, 이통사는 요구에 지체 없이 응해야 합니다. 이통사가 이용자의 열람 요구에 응하지 않을 경우 3천만원 이하의 과태료가 부과될 수 있습니다(제76조 제1항 제5호).

제30조(이용자의 권리 등) ② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

이통 3사의 개인정보취급방침(SKT, KT, LGU+)에 의하면 이통사들은 이용자의 성명, 생년월일, 주민등록번호부터 시작해 계좌정보, 개인위치정보, 수발신내역, 접속 IP 정보 등 매우 다양한 정보를 수집하고 있습니다. AMI 연구는 이통 3사들이 이용자에 대한 얼마나 많은 정보를 수집·보유하고 있으며 이런 정보를 어떻게 활용하고 있는지를 파악할 수 있는 좋은 실험이 될 것입니다.

연구에 참여하는 방법은 아래와 같습니다.

■ 참여자격

◦ SKT, KT, LGU+ 이동전화(휴대폰) 이용자 누구나

※ 참가자에게는 소정의 연구비가 지급될 예정

■ 참여방법

◦ 8월 12-22일 사이에 이용하고 있는 이통사에 아래 [이통사별 개인정보 열람신청 방법]에 따라 개인정보 열람신청

◦ 이통사로부터 답변 받는대로 오픈넷에 전달

오픈넷 사무국 전화: 02-581-1643, 이메일: [email protected]

■ 주의사항

◦ 연구비는 8월 26일 금요일 18:00까지 이통사 답변을 전달해주신 분들께만 지급됩니다.

[이통사별 개인정보 열람신청 방법]

▶ SKT 개인정보 열람신청 방법

<1단계>

1. 홈페이지(www.tworld.co.kr)에서 로그인을 합니다.

2. 홈페이지 하단 <이용내역 조회>를 클릭합니다.

3. 개인정보 이용내역 조회를 클릭합니다.

4. 1. 이동전화 서비스를 선택하고 확인을 누릅니다.

5. 본인인증을 합니다.

6. 증빙을 위해 이동전화 개인정보 이용내역 조회 결과 화면을 스크린 캡쳐해서 저장합니다.

<2단계>

1. 신청서를 내려받습니다. ☞ SKT 개인정보열람신청서

2. 발신란에 성명, 주소, 전화번호, 이메일, 가입정보에 성명, 생년월일, 휴대폰 번호, 그리고 마지막에 날짜와 성명을 기재합니다.

3. 2.의 항목을 기재한 신청서를 SKT 담당자 이메일([email protected])로 보냅니다.

 - 이메일 본문에 신청서 본문을 복사해 붙여넣고, 신청서를 첨부하시면 됩니다.

4. 이통사로부터 답변이 오면 오픈넷에 전달합니다.

▶ KT 개인정보 열람신청 방법

<1단계>

1. 고객센터 홈페이지(https://help.olleh.com/custom/custom.do)에서 로그인을 합니다.

2. 홈페이지 하단 <주요안내란>의 <개인정보이용내역 열람신청>을 클릭합니다.

3. 본인인증을 합니다.

4. 개인정보 이용내역 열람신청서를 작성합니다. 모바일 상품을 선택하시고, 열람목적은 “개인확인용” 등으로 간단히 적으시면 됩니다.

5. 그로부터 1~2일 뒤, 신청한 이메일로 회신이 옵니다.

<2단계>

1. 신청서를 내려받습니다. ☞ KT 개인정보열람신청서

2. 발신란에 성명, 주소, 전화번호, 이메일, 가입정보에 성명, 생년월일, 휴대폰 번호, 그리고 마지막에 날짜와 성명을 기재합니다.

3. 2.의 항목을 기재한 신청서를 KT 담당자 이메일([email protected])로 보냅니다.

 - 이메일 본문에 신청서 본문을 복사해 붙여넣고, 신청서 파일을 첨부하시면 됩니다.

4. 이통사로부터 답변이 오면 오픈넷에 전달합니다.

▶ LG유플러스 정보제공 내용 열람신청 방법

<1단계>

1. 홈페이지(http://www.uplus.co.kr/)에서 로그인합니다.

2. 홈페이지 하단 <개인정보이용내역>을 클릭합니다.

3. <회원 이용내역 조회>를 클릭합니다.

4. 본인인증을 합니다.

5. 증빙을 위해 이용내역 조회 결과 화면을 스크린 캡쳐해서 저장합니다.

<2단계>

1. 신청서를 내려받습니다. ☞ LGUPlus 개인정보열람신청서

2. 발신란에 성명, 주소, 전화번호, 이메일, 가입정보에 성명, 생년월일, 휴대폰 번호, 그리고 마지막에 날짜와 성명을 기재합니다.

3. 2.의 항목을 기재한 신청서를 LGU+ 담당자 이메일([email protected])로 보냅니다.

 - 이메일 본문에 신청서 본문을 복사해 붙여넣고, 신청서 파일을 첨부하시면 됩니다.

4. 이통사로부터 답변이 오면 오픈넷에 전달합니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

오픈넷, 한국NFC 사태로 본 온라인 본인확인기관 제도 개선을 위한 포럼 개최

최근 이른바 한국NFC 사태로 본인확인기관 제도에 대한 논란이 뜨겁습니다. 이 문제의 핵심은 정보통신망법의 본인확인기관 제도에 있습니다. 자세히 들여다보면 본인확인기관이 주민등록번호 대체수단을 개발하라는 도입취지와 달리 국가후견주의적 사업으로 기능하는 것이 아닌지에 대한 근본적인 질문을 마주하게 됩니다.

정보통신망법상 본인확인기관은 예외적으로 주민등록번호 수집 권한이 있고 또한 본인확인을 요구하는 수많은 법령들이 본인확인기관이 제공하는 본인확인 서비스를 이용하도록 하고 있어 시장에서 이동통신사들이 제공하는 SMS 방식의 본인확인 서비스는 이미 독점적인 지위를 유지하고 있습니다. 최명길 의원실이 방송통신위원회로부터 제공받은 자료에 따르면 이동통신 3사는 작년 한 해에만 본인인증 서비스에서 258억 원 정도의 수익을 올린 것으로 보도되기도 했습니다.

본인확인기관의 개인정보보호 미비 논란, SMS 방식의 보안 취약성 논란 등은 차치하더라도, 2016년 현재 과연 국가가 계속 본인확인기관을 지정할 필요가 있을까요? 사업자들이 영위하는 사업 특성에 맞게 적당한 기술과 방법을 통해 본인확인을 하고, 그 미비점은 사후에 규율하는 것이 타당한 규제 방법이 아닐까요?

이번 오픈넷 포럼에서는 이와 같은 문제의식에서 본인확인기관 제도에 대한 바람직한 규제 개선 방향을 모색하기 위해 다양한 의견을 청취하려고 합니다. 관심 있는 많은 분들의 참여를 바랍니다. 참가신청은 오픈넷 홈페이지(http://opennet.or.kr/12988)에서 하실 수 있습니다. 감사합니다.

[오픈넷 포럼] 온라인 본인확인, 국가후견주의가 답인가?

- 정보통신망법상 본인확인기관 제도 개선의 필요성

주최: 사단법인 오픈넷

일시: 2016. 11. 2.(수) 저녁 7:30 – 9:30

장소: 메디아티 회의실 (서울시 중구 장충단로8길 11, 1층 (대아빌딩))

- 오시는 길: 지도보기 (지하철 2, 5호선 동대문역사문화공원역/ 3호선 동대입구역에서 걸어서 5분)

패널:

심우민 국회입법조사처 입법조사관

박경신 오픈넷 이사

황승익 한국NFC 대표이사

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

최근 이른바 한국NFC 사태로 본인확인기관 제도에 대한 논란이 뜨겁습니다. 이 문제의 핵심은 정보통신망법의 본인확인기관 제도에 있습니다. 자세히 들여다보면 본인확인기관이 주민등록번호 대체수단을 개발하라는 도입취지와 달리 국가후견주의적 사업으로 기능하는 것이 아닌지에 대한 근본적인 질문을 마주하게 됩니다.

정보통신망법상 본인확인기관은 예외적으로 주민등록번호 수집 권한이 있고 또한 본인확인을 요구하는 수많은 법령들이 본인확인기관이 제공하는 본인확인 서비스를 이용하도록 하고 있어 시장에서 이동통신사들이 제공하는 SMS 방식의 본인확인 서비스는 이미 독점적인 지위를 유지하고 있습니다. 최명길 의원실이 방송통신위원회로부터 제공받은 자료에 따르면 이동통신 3사는 작년 한 해에만 본인인증 서비스에서 258억 원 정도의 수익을 올린 것으로 보도되기도 했습니다.

본인확인기관의 개인정보보호 미비 논란, SMS 방식의 보안 취약성 논란 등은 차치하더라도, 2016년 현재 과연 국가가 계속 본인확인기관을 지정할 필요가 있을까요? 사업자들이 영위하는 사업 특성에 맞게 적당한 기술과 방법을 통해 본인확인을 하고, 그 미비점은 사후에 규율하는 것이 타당한 규제 방법이 아닐까요?

이번 오픈넷 포럼에서는 이와 같은 문제의식에서 본인확인기관 제도에 대한 바람직한 규제 개선 방향을 모색하기 위해 다양한 의견을 청취하려고 합니다. 관심 있는 많은 분들의 참여를 바랍니다.

* 원활한 행사 진행을 위해 미리 참가신청을 해주시기 바랍니다.

* 참가하신 분들께는 샌드위치가 제공됩니다.

* 대중교통을 이용해주시기 바랍니다. 주차는 인근 공영주차장을 이용하시기 바라며, 주차비는 지원되지 않습니다.

▶ 참가신청: https://goo.gl/forms/ccg5DqqCcs6mN7ZL2

[오픈넷 포럼] 온라인 본인확인, 국가후견주의가 답인가?

- 정보통신망법상 본인확인기관 제도 개선의 필요성

주최: 사단법인 오픈넷

일시: 2016. 11. 2.(수) 저녁 7:30 – 9:30

장소: 메디아티 회의실 (서울시 중구 장충단로8길 11, 1층 (대아빌딩))

- 오시는 길: 지도보기 (지하철 2, 5호선 동대문역사문화공원역/ 3호선 동대입구역에서 걸어서 5분)

패널:

심우민 국회입법조사처 입법조사관

박경신 오픈넷 이사

황승익 한국NFC 대표이사

문의: 오픈넷 사무국 02-581-1643, [email protected]

오픈넷, 정부의 개인정보 비식별조치 가이드라인을 입법화하려는

정보통신망법 개정안(강길부 의원안)에 대한 반대의견 제출

• 빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야
• 비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야
• 정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함
• 논의과정의 투명성 부족과 조급증도 문제- 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.

빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야

EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.

우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.

요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.

비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야

(1) 비식별화 만능주의 프레임 지양해야

강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.

(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과

강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)

그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.

한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.

(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생

강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.

(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화

강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.

정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함

한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.

더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.

그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.

논의과정의 투명성 부족과 조급증도 문제 – 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.

따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.

2017년 1월 17일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

‘나경원 의원 딸 성신여대 부정입학 의혹’ 보도 뉴스타파 기자 무죄 선고

나경원 자유한국당 의원 딸의 성신여대 부정입학 의혹을 보도했다 허위사실 적시에 의한 명예훼손 혐의로 기소된 뉴스타파 황일송 기자에 대해 법원이 무죄를 선고했다.

서울중앙지법 형사17단독 서정현 판사는 8일 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법) 상 명예훼손 혐의가 성립하지 않는다며 무죄를 선고했다.

재판부는 “정보통신망법 상 명예훼손이 성립하려면 보도 내용이 허위여야하고 기자는 그 내용을 보도하면서 허위임을 알고 있어야 한다”면서 뉴스타파 보도의 경우 “일부 단정적으로 보도한 부분 외의 나머지 주요 내용이 허위라고 볼 수 없다”고 밝혔다.

재판부는 “장애인 전형이 있는 다른 대학에서 응시생이 신원을 노출할 경우 부정행위로 간주해 실격처리한다고 단정적으로 보도한 부분과 반주가 필요한 경우 수험생이 준비해와야 한다고 단정적으로 보도한 부분은 허위사실에 해당한다”면서도 “이를 제외한 나머지 보도부분은 그 주요 내용이 객관적 사실에 합치된다고 보이고, 부정행위 내지 부정입학이라고 표현한 부분은 다소 과장되거나 아니면 사실이 아닌 평가로 볼 여지가 상당하므로 이를 허위의 사실을 적시한 것이라고 볼 수 없다”고 설명했다.

또 “기자가 취재를 통해 사실을 확인하고자 노력”했고 “나 의원과 성신여대 측에 반론을 할 수 있는 기회를 충분히 부여”했으며 “면접위원이었던 이재원 교수와 한국예술종합학교 입시관련 직원들로부터 들은 내용을 기사로 작성한 점을 비춰볼 때 피고인이 허위사실 부분에 대한 허위의 인식이 있었다고 단정할 수 없다”고 밝혔다.

재판부는 “정보통신망법상 명예훼손이 성립되기 위해서는 비방의 목적이 인정돼야 하는데, 보도에 관련된 나경원과 성신여대 총장 등 입학관련 교수들은 공인이라고 볼 수 있고 대학교 입시와 관련된 내용은 우리 사회에서 민감성을 가진 공공성, 사회성을 가진 공적 관심사항에 관한 것”이라면서 “이런 사안의 보도에는 언론의 자유에 대한 제한이 완화돼야하고 공적인 존재나 공적인 관심사안에 대한 감시나 비판은 현저히 상당성을 잃은 경우가 아닌한 쉽게 제한돼서는 안된다”고 덧붙였다.

뉴스타파는 2016년 3월부터 나경원 의원 딸의 성신여대 부정입학 의혹을 집중 보도했고 나 의원의 고소에 따라 검찰이 같은해 5월 황일송 기자를 명예훼손 혐의로 불구속 기소했다.

검사도 “이상하다”고 했던 98점 몰표…재판에서 확인된 사실과 남은 의혹

이번 판결을 통해 재판부는 뉴스타파 보도대로 “성신여대 장애인 특별전형과정이 급박하게 도입됐다는 점, 나 의원의 딸 김모씨가 입학한 2012학년도 이후에는 장애인특별전형으로 실용음악학과 학생을 선발하지는 않았던 점”을 인정했다.

또 장애인전형과정에서 실기가 없었다는 성신여대 측의 설명과는 달리 실기시험이 있었다는 점도 법원이 인정했다. 다만 실기시험에서 학생이 사전에 반주음악을 준비해야한다는 조항이 장애인전형 모집 요강에 없었기 때문에 부정행위라고 단정할 수 없다고 해석했다.

이에 대해 이 사건을 보도한 뉴스타파 황일송 기자는 “법원이 당연한 결론을 내리긴 했지만 이번 판결로 절반의 진실만 밝혀졌을 뿐”이라며 “법원이 실제 부정행위가 있었는지의 실체적 진실에 대한 판단을 보류함으로써 나경원 의원측에 일정 부분 면죄부를 준 측면이 있다”고 밝혔다.

실제 이번 재판 과정에서 2012학년도 성신여대 특수교육대상자 전형 당시 학생부 성적과 면접 점수가 공개됐는데, 나 의원의 딸 김 모씨는 응시대상자 21명 가운데 학생부 성적이 21등으로 가장 낮았던 사실이 새로 밝혀졌다.

또 현대실용음학과에 지원한 나 의원의 딸에 대해 면접위원 4명이 모두 똑같이 100점 만점에 98점을 준 사실도 드러났다. 다른 실용음악학과 지원자들의 면접 점수가 평균 70점대이고, 점수도 제각각 달랐던 것과 비교되는 대목이다. 이에 검사가 “어떻게 면접위원 4명이 똑같이 98점을 줬는지 제가 생각하기에도 이상하다”며 공판에 증인으로 참석한 면접위원에게 오히려 의문을 표시하기도 했다.

황일송 기자는 “성신여대가 뉴스타파 보도에 대해 일절 법적 대응을 하지 않은 점과 면접위원이었던 이재원 교수가 부정행위가 있다고 인터뷰했음에도 아무런 징계를 취하지 않은 점 등 이번 사건에는 납득하기 힘든 점들이 많다”면서 “그동안 재판에 영향을 미칠 수 있어 보류했던 나경원 의원 관련 후속 취재를 재개해 권력을 가진 자들이 부당하게 특혜를 누리는 일이 사라지도록 노력하겠다”고 말했다.

취재:최기훈
촬영:신영철

‘나경원 의원 딸 성신여대 부정입학 의혹’ 보도 뉴스타파 기자 무죄 선고

나경원 자유한국당 의원 딸의 성신여대 부정입학 의혹을 보도했다 허위사실 적시에 의한 명예훼손 혐의로 기소된 뉴스타파 황일송 기자에 대해 법원이 무죄를 선고했다.

서울중앙지법 형사17단독 서정현 판사는 8일 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법) 상 명예훼손 혐의가 성립하지 않는다며 무죄를 선고했다.

재판부는 “정보통신망법 상 명예훼손이 성립하려면 보도 내용이 허위여야하고 기자는 그 내용을 보도하면서 허위임을 알고 있어야 한다”면서 뉴스타파 보도의 경우 “일부 단정적으로 보도한 부분 외의 나머지 주요 내용이 허위라고 볼 수 없다”고 밝혔다.

재판부는 “장애인 전형이 있는 다른 대학에서 응시생이 신원을 노출할 경우 부정행위로 간주해 실격처리한다고 단정적으로 보도한 부분과 반주가 필요한 경우 수험생이 준비해와야 한다고 단정적으로 보도한 부분은 허위사실에 해당한다”면서도 “이를 제외한 나머지 보도부분은 그 주요 내용이 객관적 사실에 합치된다고 보이고, 부정행위 내지 부정입학이라고 표현한 부분은 다소 과장되거나 아니면 사실이 아닌 평가로 볼 여지가 상당하므로 이를 허위의 사실을 적시한 것이라고 볼 수 없다”고 설명했다.

또 “기자가 취재를 통해 사실을 확인하고자 노력”했고 “나 의원과 성신여대 측에 반론을 할 수 있는 기회를 충분히 부여”했으며 “면접위원이었던 이재원 교수와 한국예술종합학교 입시관련 직원들로부터 들은 내용을 기사로 작성한 점을 비춰볼 때 피고인이 허위사실 부분에 대한 허위의 인식이 있었다고 단정할 수 없다”고 밝혔다.

재판부는 “정보통신망법상 명예훼손이 성립되기 위해서는 비방의 목적이 인정돼야 하는데, 보도에 관련된 나경원과 성신여대 총장 등 입학관련 교수들은 공인이라고 볼 수 있고 대학교 입시와 관련된 내용은 우리 사회에서 민감성을 가진 공공성, 사회성을 가진 공적 관심사항에 관한 것”이라면서 “이런 사안의 보도에는 언론의 자유에 대한 제한이 완화돼야하고 공적인 존재나 공적인 관심사안에 대한 감시나 비판은 현저히 상당성을 잃은 경우가 아닌한 쉽게 제한돼서는 안된다”고 덧붙였다.

뉴스타파는 2016년 3월부터 나경원 의원 딸의 성신여대 부정입학 의혹을 집중 보도했고 나 의원의 고소에 따라 검찰이 같은해 5월 황일송 기자를 명예훼손 혐의로 불구속 기소했다.

검사도 “이상하다”고 했던 98점 몰표…재판에서 확인된 사실과 남은 의혹

이번 판결을 통해 재판부는 뉴스타파 보도대로 “성신여대 장애인 특별전형과정이 급박하게 도입됐다는 점, 나 의원의 딸 김모씨가 입학한 2012학년도 이후에는 장애인특별전형으로 실용음악학과 학생을 선발하지는 않았던 점”을 인정했다.

또 장애인전형과정에서 실기가 없었다는 성신여대 측의 설명과는 달리 실기시험이 있었다는 점도 법원이 인정했다. 다만 실기시험에서 학생이 사전에 반주음악을 준비해야한다는 조항이 장애인전형 모집 요강에 없었기 때문에 부정행위라고 단정할 수 없다고 해석했다.

이에 대해 이 사건을 보도한 뉴스타파 황일송 기자는 “법원이 당연한 결론을 내리긴 했지만 이번 판결로 절반의 진실만 밝혀졌을 뿐”이라며 “법원이 실제 부정행위가 있었는지의 실체적 진실에 대한 판단을 보류함으로써 나경원 의원측에 일정 부분 면죄부를 준 측면이 있다”고 밝혔다.

실제 이번 재판 과정에서 2012학년도 성신여대 특수교육대상자 전형 당시 학생부 성적과 면접 점수가 공개됐는데, 나 의원의 딸 김 모씨는 응시대상자 21명 가운데 학생부 성적이 21등으로 가장 낮았던 사실이 새로 밝혀졌다.

또 현대실용음학과에 지원한 나 의원의 딸에 대해 면접위원 4명이 모두 똑같이 100점 만점에 98점을 준 사실도 드러났다. 다른 실용음악학과 지원자들의 면접 점수가 평균 70점대이고, 점수도 제각각 달랐던 것과 비교되는 대목이다. 이에 검사가 “어떻게 면접위원 4명이 똑같이 98점을 줬는지 제가 생각하기에도 이상하다”며 공판에 증인으로 참석한 면접위원에게 오히려 의문을 표시하기도 했다.

황일송 기자는 “성신여대가 뉴스타파 보도에 대해 일절 법적 대응을 하지 않은 점과 면접위원이었던 이재원 교수가 부정행위가 있다고 인터뷰했음에도 아무런 징계를 취하지 않은 점 등 이번 사건에는 납득하기 힘든 점들이 많다”면서 “그동안 재판에 영향을 미칠 수 있어 보류했던 나경원 의원 관련 후속 취재를 재개해 권력을 가진 자들이 부당하게 특혜를 누리는 일이 사라지도록 노력하겠다”고 말했다.

취재:최기훈
촬영:신영철

특허 허브 전략 국가론은 폐기해야

기술지식의 사회적 이용을 위한 정책이 필요한 때

2013년에 등장한 특허 허브 국가론 또는 특허 허브 미래전략론이 국회와 대법원을 통해 구체화되고 있다. 2014년 9월 국회의원 64명을 회원으로 하는 ‘특허허브국가추진위원회’가 만들어졌고, 대법원은 이번 달에 ‘IP Hub Court 추진위원회’를 발족했다. 특허 허브 국가론은 KAIST 미래전략대학원이 이론적 근거를 제공하고 김앤장이 전도사 역할을 해 온 것으로, 전 세계 특허 분쟁을 우리나라에 유치하고 이를 통해 우리나라의 미래 부가가치 창출을 해 보자는 것이다. 이를 위해 징벌적 손해배상 제도를 도입하고 특허권자가 소송을 제기하기 편하도록 소송절차상의 특혜를 부여하려는 법률 개정안이 발의되었다. 하지만 이는 대단히 위험하다.

우리나라는 기술무역 적자 규모가 한해 5조원에 달하는 만성적자국이다. 기술무역이 적자라는 말은 강력한 특허권을 보유한 외국 기업에게 지불되는 특허 로열티가 많다는 뜻이다. 이런 상황에서 특허 분쟁을 늘리면 기술무역 적자폭만 늘어나고 그 피해는 국내 기업들과 최종적으로는 소비자인 일반 국민들에게 돌아갈 것이다. 그리고 특허권자에게 온갖 특혜를 부여하여 분쟁을 제기할 유리한 제도를 만들자는 주장은 미국의 오바마 대통령까지 폐해를 지적한 특허 괴물에게 국내에서 활동하라고 멍석을 깔아주자는 것과 다르지 않다.  또한 특허 분쟁을 통해 이득을 보는 집단은 소송을 대리하는 김앤장과 같은 일부 대형 로펌일 뿐인데 이를 어떻게 국가 전략으로 삼을 수 있는지 의문이다.

이처럼 입법부와 사법부가 함께 나서서 무분별한 특허 소송을 부추길 수 있는 제도 변경을 꾀하는 것에 심각한 우려를 금할 수 없다. 특히 대법원이 추진하는 지재권 전담 법원은 실체적 진실을 가리는 최후 보루로서의 사법부의 역할보다 특허권자의 포럼 쇼핑을 위한 법률 서비스라는 시장 논리를 강조한다는 점에서 심각한 문제가 있다.

더 큰 문제는 기술지식의 사회적 이용은 도외시한다는 데에 있다. 특허 제도는 특허권자 보호를 강화하는 것이 목적이 아니라, 민간 영역의 기술지식이 어떻게 하면 사회전체로 스며들게 할 것인지가 목적이다. 기술지식이 특허권자의 독점이윤 추구의 도구로만 활용되고, 특허 허브 국가론이 내세우는 것처럼 특허분쟁을 통해 거액의 배상금을 받아내는 수단으로 전락한다면, 우리 사회에서 특허 제도를 유지할 이유가 사라진다. 기술이 발달하고 과학이 진보하더라도 그 혜택이 우리 사회 모두에게 돌아가지 않는다면, 기술 혁신을 위한 국가 정책이 어떤 의미가 있는가? 바로 그 때문에 국제인권규범도 기술의 진보로부터 혜택을 볼 권리를 보편적 인권의 하나로 정하고 있다.

기술지식의 사회적 의미를 무시한 반인권적인 전략인 특허 허브 국가론은 폐기해야 하며, 국회와 대법원은 특수한 이해집단의 이해가 아니라 우리 사회 전체를 위한 정책을 위해 무엇을 해야 하는지 고민해야 한다.

2016년 6월 25일

사단법인 오픈넷

정보공유연대 IPLeft

지식협동조합 좋은나라

진보네트워크센터

참여연대