동의를 대체하는 것은 가명화가 아니라 공익적인 과학연구

공익적인 과학연구는 연구결과의 공유를 전제로

재식별키와 연구 데이터는 별도 보관되어야

2020년 2월 4일의 개인정보보호법 개정은 공익적 기록 과학연구 및 통계 목적의 “추가처리” 조항들을 도입하기 위해 이루어졌다. 이는 개인정보 이용의 활성화를 위해 GDPR이 정보주체의 동의 없이 새로운 목적으로 정보를 처리(소위 “추가처리”) 하도록 허용하는 조항들 중에서 가장 활용가능성이 명확한 부분이다. 그러나 GDPR 기준을 구현하기 위해서는 다음과 같은 면에서 추가 입법 또는 하위법령 제정작업이 필요해보인다. 3월 31일 예고된 시행령은 이와 같은 요구에 한참 못 미친다. 

첫째, 가명화를 전제로 하여 이루어지는 과학연구의 연구결과물이 사회 전반에 공유되도록 의무화하기 위한 추가입법이 필요하다. 특히 현재 해석상 동의 없는 추가처리가 ‘상업적 연구’도 포함하게 되는데 이 경우 공익성의 확보를 위해서 연구결과의 공유가 필요하다. 가명화된 정보는 다른 정보와 용이하게 결합하여 식별성을 갖추게 되므로 당연히 개인정보이고, 이와 같은 개인정보를 정보주체의 동의 없이 새로운 목적으로 이용하도록 허용하는 “특례”가 인정되기 위해서는 공익적인 성격이 명백해야 한다. 즉 GDPR 전문이 유럽연구공역(European Research Area)을 언급하며 암시하고 있듯이 연구의 혜택이 사회에 환원되는 경우에만 동의 없는 추가처리가 허용되도록 하여 공익성을 보장하는 방향으로 법개정 또는 시행령 제정을 할 필요가 있다. 

둘째, GDPR 및 유럽의 기타 개인정보보호법들이 과학연구 목적을 동의요건 면제의 근거로 삼는 반면, 우리나라 개인정보보호법 개정안은 가명화를 동의요건 면제의 근거로 삼으면서 입법불비가 발생했다. 즉 가명화만 되면 과학연구 목적이 없음에도 불구하고 열람권, 정정권, 삭제권, 처리거부권 등의 정보주체의 권리들이 제한될 가능성이 열린 것이다. 이 조항은 각종 기업들이 연구 등의 공익적 목표와 무관하게 정보를 가명화하여 정보주체들의 권리를 제한할 위험을 발생시킨다. 물론 이 때 추가처리 또는 제3자제공은 동의가 요구되겠지만 포괄적 동의 등의 방법으로 우회할 수 있다. 시민단체들이 법개정 때문에 기업들에 의한 개인정보 판매가 더욱 수월해졌다고 주장했는데 과학연구목적이 아닐 경우에도 시민들의 옵트아웃(처리거부) 권리가 제한된다는 면에서 타당한 주장이다. 

셋째, 우리나라 개정법은 2개 이상의 데이터베이스의 결합을 국가기관이 지정한 전문기관이 하도록 하고 있는 반면, 결합의 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못 하도록 하는 유럽의 실무를 조문에 반영하고 있지 못 하고 있다. 하나의 전문기관이 재식별키와 연구대상 데이터를 보관하게 될 경우 프라이버시 침해 위험은 훨씬 높아진다. 3월 31일 예고된 시행령도 이 위험에 대한 대비책을 제시하지 못 하고 있다. 

개인정보보호법 가명화 도입이 원래 목적대로 프라이버시 보호와 개인정보 활용 사이의 균형을 잡도록 하기 위해서 위와 같은 과제들이 선결될 것을 요구한다. 

2020년 4월 9일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

코로나19의 영향으로 화상회의 수요가 급증하고 있으며, 그 중 가장 널리 이용되고 있는 화상회의 솔루션으로는 줌(Zoom)이 있습니다. 그런데 최근 “줌 폭격(Zoom bombing)” 등 여러 가지 보안 문제가 불거지면서 줌을 사용해도 되는지 우려하는 이용자들이 늘어나고 있으며, 캐나다 토론토대학교 산하 시티즌랩 연구소는 줌의 보안성에 대한 보고서를 공개하기도 했습니다. 이에 사단법인 오픈넷은 보다 안전한 줌 이용을 위해 미국의 정보인권 시민단체인 전자개척자재단(EFF)이 발표한 “프라이버시 보호와 트롤 방지를 위한 줌 설정 강화(Harden Your Zoom Settings to Protect Your Privacy and Avoid Trolls)“의 내용을 번역·수정해 배포합니다.

프라이버시 보호와 트롤 방지를 위한 줌 설정 강화

다음 단계를 수행하여 줌 프라이버시 설정을 강화하고 “줌 폭격” 트롤로부터 회의를 보호하세요. 아래의 각 설정은 개별적이므로 전부 적용하거나 순서대로 적용할 필요는 없습니다. 어떤 설정이 자신과 대화 그룹에 적합한지를 고려하고, 회의 호스트와 다른 참가자에게도 설정과 보안 수준에 대한 기대치를 공유해주시기 바랍니다.

<프라이버시 설정>

채팅 자동 저장 설정 해제

줌 프로필 설정의 회의 중(기본) 탭으로 들어가 채팅 자동 저장 버튼이 왼쪽으로 꺼져 있는지 확인하세요.

“Attention Tracking” 설정 해제 – 4/2부로 기능 삭제

가상 배경 사용

화상회의 중 참가자가 있는 공간은 거주지, 습관, 취미 등 많은 정보를 노출시킬 수 있습니다. 화상회의 배경에 사적 공간이 노출되는 것이 불편하다면 가상 배경을 설정하세요. PC에서는 왼쪽 하단 비디오 시작, 스마트폰 앱에서는 오른쪽 하단 더 보기로 들어가면 가상 배경을 설정할 수 있습니다. 

<트롤을 피하는 모범 사례>

줌이 그 어느 때보다도 널리 사용되면서, 줌의 공개 회의 ID 메커니즘은 침입자가 욕설, 비방, 음란물이나 혐오스러운 이미지를 퍼뜨려 회의를 방해할 수 있게 했습니다. 회의를 호스팅할 때는 다음의 단계를 수행하여 이러한 “줌 폭격”으로부터 자신과 회의 참가자를 보호하세요.

침입자는 두 가지 방법 중 하나로 회의를 찾을 수 있습니다: 활성화된 회의 ID를 찾을 때까지 랜덤하게 생성된 회의 ID를 돌려보거나, 페이스북 그룹, 트위터 또는 개인 웹사이트와 같은 공개된 장소에 게시된 회의 링크와 초대장을 이용할 수 있습니다. 따라서 회의 보안은 회의 참가자를 관리하고 회의 ID를 비공개하는 것으로 요약될 수 있습니다.

회의 ID를 비공개로 유지

가능하면 회의 링크 또는 회의 ID를 공개적으로 게시하지 마세요. 대신 신뢰할 수 있는 사람과 그룹에게 직접 보내세요.

회의 비밀번호 설정 및 회의 링크 확인

줌의 최신 업데이트 이후 교육용 계정뿐만 아니라 모든 계정에 대해 회의 비밀번호가 기본적으로 설정되어 있습니다.

그러나 줌 비밀번호는 예기치 않은 방식으로 작동할 수 있으니 주의하세요. “초대 URL 복사”기능을 사용하여 회의 링크를 복사하여 참가자에게 보낼 때 링크에 회의 비밀번호가 포함될 수 있습니다. 물음표 “?”가 포함되어 있는 비정상적으로 긴 URL을 주의하세요. 물음표는 회의 비밀번호가 포함되어 있음을 나타냅니다.

신뢰할 수 있는 참가자에게 회의 링크를 직접 보낼 때는 링크에 비밀번호가 포함돼도 아무런 문제가 없습니다. 그러나 페이스북 그룹, 트위터와 같은 공공 장소에 회의 링크를 게시하면 비밀번호 자체도 공개된다는 의미입니다. 이벤트를 온라인에 게시하는 경우 회의 ID만 게시한 다음 회의가 시작되기 직전 확인된 참가자에게 비밀번호를 별도로 보내세요.

비밀번호 설정을 찾으려면 내 계정 설정으로 들어가세요. “새 회의를 예약할 때 비밀번호가 필요합니다” 버튼이 오른쪽으로 켜져 있는지 확인하세요. 이 항목에서 다른 비밀번호 옵션도 확인할 수 있습니다.

화면 공유 잠금

내 계정 설정의 회의 중(기본) 항목에서 화면 공유를 호스트만으로 설정하세요. 이 경우 회의를 호스팅할 때 호스트만 화면 공유를 할 수 있고 다른 회의 참가자는 화면 공유를 할 수 없습니다.

호스팅하려는 회의에 따라 화면 공유 버튼을 왼쪽으로 이동하여 화면 공유를 완전히 끌 수도 있습니다.

참가자 확인을 위한 대기실 사용

줌의 최신 업데이트 이후 지금은 모든 계정에서 기본적으로 대기실이 활성화되었습니다. 대기실은 호스트가 새로운 참가자의 입장을 수락하기 전에 선별할 수 있도록 하여 방해꾼 또는 예상치 못한 참가자의 회의 참가를 막을 수 있습니다.

대기실은 내 계정 설정의 회의 중(고급) 항목에서 찾을 수 있습니다. 대기실 버튼이 오른쪽으로 켜져 있는지 확인하세요.

회의 잠금

모든 참가자가 들어오면 다른 사람이 참가하지 못하도록 회의를 “잠글” 수 있습니다. 줌 화면에서 보안 아이콘을 클릭한 뒤 옵션 맨 위 회의 잠금을 체크합니다.

보안 아이콘 옵션

위에서 설명한 다양한 설정에 액세스하는 또 다른 방법은 줌 회의를 호스팅할 때 화면 하단에 보이는 보안 아이콘을 사용하는 것입니다. 보안 아이콘을 사용하면 회의 잠금, 대기실 사용 및 회의 참가자의 화면 공유 제한과 같은 설정으로 빠르게 이동할 수 있습니다. 줌의 보도자료는 이 기능에 대해 더욱 자세히 설명하고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]