박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

오랫동안 지켜봐 왔다. 현 정부의 정보통신발전계획을 요약하자면 이렇다:

‘야, 네이버, 카카오!
너희 구글, 페이스북 따라 잡겠냐.
너희들 망해도 어쩔 수 없다.
우리는 망사업자들과 같이 국민들한테 통신요금이나 뜯고 외국업체들 망이용료나 뜯어보겠다.’

그 기조의 최근 발현이 2020년 국회 과학기술정보통신위원회를 통과한 전기통신사업법 개정안이다. 

개정안의 악수

우선, 공공재인 주파수와 도로 위 전봇대나 아래의 관로의 독점적 이용을 불하받아 천문학적 이윤을 올리고 있는 기간통신사업자들에 대한 공적 통제의 마지막 보루인 (1) 요금인가제를 폐지하여 현재 세계 최고 수준의 이동통신비를 그대로 두겠다고 한다.

요즘은 이동통신에서 음성전화보다 중요한 것이 인터넷이며 음성전화도 인터넷전화로 대체되고 있다. 그런데 아래에 다시 말하겠지만, 우리나라는 세계 최고 수준의 인터넷 가격을 유지하고 있어 이동통신가격이 떨어지기가 어렵다. 또 시장경쟁상황이 HHI지수 기준 인구 2천만 이상의 선진국에서 최고 수준인 우리나라에서는 기간통신사업자들에 대한 공적 통제를 느슨하게 해서는 안 된다.

(2) 또 불법정보유통 예방을 위한 “기술적 조치” 의무를 망사업자들은 쏙 빼놓고 부가통신사업자 즉 인터넷을 통해 콘텐츠와 플랫폼을 제공하는 업체들에게만 부과하고 있다. 이는 이용자들에 대한 사적 검열과 사적 감시를 부추길 것이며 외국플랫폼으로의 망명을 부추길 것이다.

정부는 ‘일반적으로 공개된 정보’에만 적용하여 업체들에 대한 이용자 감시 문제는 없을 것이라고 말한다. 하지만 그렇다면 n번방 재발 방지라는 입법 의도가 실효되는 것이다. 또 일반적으로 공개된 정보에만 적용된다고 할지라도 이를 유지해왔던 정보매개자 책임 제한 원리, 즉 자신이 몰랐던 불법정보에 대해서는 책임을 지지 않는다는 원리를 훼손하여 사업자가 이용자의 포스팅을 사전검열하거나 전면적으로 감시하도록 해 인터넷의 생명을 유지해왔던 ‘허락받지 않고 말할 자유’를 훼손한다(참고: 인터넷 검열 부추기는 정보매개자책임제도).

(3) 게다가 한낱 서버들의 묶음인 데이터센터들에게 기간통신사업자들에게나 적용되던 재난관리계획 제출의무를 지워 인터넷업체들을 허가제로 만들고 있다. 부가통신사업자는 ‘타인의 통신을 매개하는 모든 사업자’로 정의된다. 영리를 목적으로 하든 안하든 홈페이지 만들어놓고 댓글창이라도 달아두면 신고를 했든 안했든 부가통신사업자다. 학교도 도서관도 심지어는 오픈넷도 부가통신사업자인데 웹 서버를 자가로 하면 그게 결국 데이터센터인데 여기에 재난관리계획 제출의무를 부과하는 것은 인터넷의 자유를 파괴한다.

인권과 경제 다 놓치는 악수 시리즈의 결정판은 (4) 부가통신사업자에게 ‘서비스의 안정적 제공’ 의무를 부과하는 조항이다. 미사여구가 동원되었지만 결국 인터넷접속 속도나 질에 대한 책임과 비용을 인터넷업체들에게 지우겠다는 취지로 읽힐 수 있어 세계적으로 유례가 없는 법이며 인터넷의 사회적 역할, 경제적 역할 모두 모두 포기한 법이라고 볼 수 있다. 

접근 가능 책임, ‘콘텐츠 제공자’에 분산 

망사업자들은 이미 인터넷접속료를 고객들로부터 받는다. 여기서 ‘인터넷 접속’이라는 상품은 전 세계 단말들에의 ‘접근가능성’(full connectivity)을 의미한다. 네이버, 카카오, 넷플릭스, 유튜브 등 어떤 서버이든 망사업자는 자신의 고객들이 이 서버들의 데이터를 원활하게 받을 수 있도록 할 책임이 있다. 자신의 망 입구까지 전달만 된다면 말이다.

고객들에게 각자 초당 1GB의 접속용량(속도)를 판매했다면 그 속도로 전 세계 어느 서버들의 콘텐츠이든 받아볼 수 있어야 한다. 이론적으로는 1동네의 10가구에 그렇게 판매했다면, 그 동네 입구에는 초당 10GB 용량의 선이 들어가 있어야 한다. 그런 고객이 1천만 명이라면 자신보다 상위의 해외 망사업자와는 초당 1GB×1천만 명의 해외접속용량을 확보하고 있어야 한다.

물론 모두가 동시에 인터넷을 이용하는 것은 아니며 모두가 동시에 해외 콘텐츠를 보는 것은 아니니 합리적인 범위 내의 오버부킹(Overbooking; 실제 확보한 용량보다 더 많은 용량을 판매하는 것)은 가능하다. 그러나 예측이 어긋나서 혼잡이 발생한다면 자신의 고객에게 ‘접근 가능성’(full connectivity)를 약속하고 돈을 받은 망사업자‘가’ 약속한 속도가 나오도록 상류접속용량을 확보할 책임이 있다.

그런데 이번 개정안은 이 책임을 콘텐츠 제공자에 분산시킴으로써 망사업자들의 책임을 희석시킨다. 이렇게 되면 어떻게 될까? 네이버스포츠나 카카오TV 영상 중에 킬러콘텐츠가 있어 수많은 사람들이 이를 보면서 콘텐츠 제공 경로에 혼잡이 발생했다고 하자.

혼잡을 풀기 위해 망사업자가 접속용량을 확보하는 비용이 발생할 수 있는데 개정법 조항을 들어 망사업자가 네이버나 카카오에 그 비용을 청구할 수 있게 된다. 하지만 네이버나 카카오는 그들대로 인터넷접속료를 망사업자들에 냈고, 이들 역시 국내망사업자 고객들의 단말들을 포함한 전 세계 단말들에의 접근가능성을 약속받았다. 개정법은 네이버나 카카오에 자신의 콘텐츠를 온라인으로 송출할 때 필요한 접속용량에 대한 접속료 한 번 그리고 그 콘텐츠가 망사업자의 고객 단말기에 전달될 때 필요한 접속용량에 대한 접속료 한 번 이렇게 두 번 돈을 내라는 것이 된다.

결국, 국내 콘텐츠업체 죽이는 법 

법 추진 세력들은 국내 사업자에게 적용하려는 것이 아니라 해외 콘텐츠업체들에게 적용하려는 것이라고 말한다. 법이라는 게 그렇게 마음대로 적용 범위를 제한할 수도 없거니와 이미 구글, 페이스북 등은 우리나라 법상 부가통신사업자 신고 자체가 되어 있지 않다. 행정법의 집행력은 공공기관이 신고를 취소하는 등의 징계를 할 권한에서 나오는 것이니 해외 업체들에 대해서는 법 집행 자체가 불가능하다. 결국, 국내 콘텐츠 사업자들만 죽이는 법이 될 것이다.

게다가 우리 정부가 망사업자 보호를 위해 특별히 2016년부터 시행해온 역시 세계 유일의 발신자 종량제 덕에 네이버(734억 원+), 카카오(300억 원+), 아프리카TV (150억 원+) 등이 국내 망사업자에게 내고 있는 인터넷 접속료는 세계 최고 수준이다(참고: 망중립성 관점에서 ‘망 이용료’ 논쟁 이해하기).

서울의 초당1MB 접속 가격이 파리의 8배 뉴욕의 5배다. 국가가 망사업자들이 서로 인터넷의 구동원리와 정면으로 배치되는 데이터 발송 비용을 받도록 강요하고 있어 망사업자들이 서로 인기있는 콘텐츠 유치를 꺼리게 되었고 심지어는 일부 콘텐츠업자들은 아예 발신자 종량제로 접속료를 내고 있기 때문이다. 이 상황에서 세계 유일의 망 혼잡 해소 비용까지 콘텐츠업체에게 더 내놓으라니.

인터넷과 노벨평화상

결국 발신자 종량제는 인권도 죽인다. 인터넷이 노벨평화상 후보(2010년)에 오를 만큼 인권 보호에 있어서 중요한 역할을 인정받는 이유는 바로 데이터 발송 비용이 없기 때문이다. 인터넷은 전기, 수도 같은 종량제가 아니다. 거울에 빛이 반사되어도 아무런 비용이 발생하지 않듯이 텔레비전을 아무리 오래 보아도 수신료나 케이블월정액에 변함이 없듯이 인터넷도 똑같은 전자기파 신호라서 데이터량에 따른 비용 발생이 없다.

더욱이 인터넷은 지상파, 전화, 케이블TV와 달리 하나의 업체가 데이터 경로 전체를 책임지고 제공하는 것이 아니라 각자 이웃의 데이터를 ‘옆으로 한칸씩’만 전달해주겠다는 상부상조의 약속으로 데이터 전달이 이루어져 데이터 전달 비용이라는 것을 서로 받지 말자고 만든 통신시스템이다.

카카오TV에 정부 비리를 고발하는 영상을 올려 수많은 사람들이 이 영상을 봐서 카카오TV 서버의 데이터가 많이 전달되더라도 고발자가 데이터 전달 비용을 걱정하지 말도록 하자고 만든 시스템, 즉 표현의 경제적 비용은 없애자는 것인데 우리 정부는 이걸 깡그리 무시하고 있다.

여기에 더해 법이 통과되면 영상의 이용자들이 많은 지역의 망사업자가 ‘당신 영상 때문에 망혼잡이 발생하니 해소비용을 내라’고 카카오TV에게 요구할 수 있게 된다. 이렇게 영상 플랫폼에 킬러 콘텐츠가 올라오는 것이 두려운 업체들은 유료로 전환할 수밖에 없고, 이용자들은 유튜브로 페이스북으로 망명할 수밖에 없다.

경제, 인권 다 포기하고 망사업자들과 잘 살아보세.

이 글은 슬로우뉴스에 기고한 글입니다. (2020.05.19.)

전기통신사업법 각종 쟁점 해설 기자설명회

2020. 5. 18.(월) 오후 2:30 / 서초동 오픈넷 회의실

사단법인 오픈넷은 혼란이 부각되고 있는 전기통신사업법 등의 각종 이슈들에 대해 자세히 해설하는 기자설명회를 5월 18일 오후 2시 30분에 오픈넷 회의실에서 개최합니다. 

국회는 ‘n번방 재발 방지’를 위해 전기통신사업법 특정 조항을 입법하려고 한다고 하였지만 방송통신위원회는 최근 기자회견을 통해 해당 조항은 비공개대화방에 적용되는 것이 아니라고 밝혔습니다. n번방은 불법촬영물이 비공개대화방에서 공유되어 피해가 발생한 사건인데 비공개대화방에 적용되지 않는다면 국회의 ‘N번방 재발방지’ 의도가 무색해집니다. 또 방통위의 해명처럼 ‘일반적으로 공개된 정보’에 적용되는 것이라면 기술적으로 똑같이 접근가능한 모든 전기통신사업자에게 적용하지 않고 왜 ‘부가통신사업자’에만 적용하는지, 기술적 조치 적용시 예방효과가 더욱 뛰어난 망사업자들에게는 적용하지 않는 것인지 의문입니다. 

또 국회는 넷플릭스 등 해외 업체들에게 안정적인 망 운영의 책임을 지우기 위해 전기통신사업법 특정 조항을 입법하려고 합니다. 그러나 실제 조항은 국내 부가통신사업자에게만 적용되어 국내 업체들의 인터넷접속료만 높이는 결과를 초래할 것입니다. 또한 그 부담 때문에 서비스의 질이 떨어질 수밖에 없어 국내 이용자들이 4K등 고품질 동영상을 국내 플랫폼에서 보기가 더 어려워집니다. 

공공재를 이용하는 망사업자들에 대한 공적 통제의 마지막 보루였던 인가제를 급히 폐지하려는 것도 통신비 인하 공약과 어긋날 뿐만 아니라 세계 최고의 인터넷접속료 때문에 국내 업체들로부터 좋은 서비스를 받지 못하는 국내 소비자들의 삶을 더욱 궁핍하게 만듭니다. 

인터넷데이터센터는 엄밀히는 서버군을 의미하고 학교, 교회 등등 어느 조직에나 해당될 수 있는데 방송국이나 망사업자와 같은 의무를 부과하려는 조항의 진의도 예측해봅니다. 그외 각종 이슈들에 대해 설명합니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

방송통신3법 졸속추진 중단하고 21대 국회에서 논의하라

스타트업기업·소비자시민단체, 국회와 과기부·방통위에 방송통신3법 관련 공동의견서 및 여야 원내대표단 면담요청서 전달

면담 답변 없으면 19일 국회 앞 기자회견 진행 후 방문예정

민생경제연구소, 사단법인 오픈넷, 소비자시민모임, 참여연대, 한국소비자연맹 등 통신·소비자·시민사회단체들과 1,300여 개의 스타트업 기업들의 모임인 코리아스타트업포럼은 오늘(5/17) 국회와 과학기술정보통신부, 방송통신위원회에 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)의 졸속추진을 중단하고 21대 국회에서 충분한 논의를 거쳐 처리할 것을 촉구하는 공동의견서를 전달했습니다.

위 단체들은 공동의견서를 통해 지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)은 대기업인 이동통신 3사의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분하지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들이라고 지적했습니다. 또한 많은 사회적 논쟁이 벌어지고 있는 사안들인 만큼 20대 국회 임기 내에 처리하기 위해 무리하게 추진할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구하였습니다.

위 단체들은 공동의견서와 더불어 여야 원내대표단에 긴급면담요청서를 전달하였으며, 만약 면담에 대한 답변이 없으면 본회의 하루 전인 19일 국회 앞에서 면담촉구 기자회견을 열고 원내대표실로 방문할 계획임을 밝혔습니다. 

<방송통신3법 졸속추진에 대한 스타트업·소비자시민단체 공동의견서>

지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 「전기통신사업법 일부개정법률안(위원장 대안)」, 「정보통신망법 일부개정법률안(위원장대안」, 「방송통신발전 기본법 일부개정법률안(위원장 대안)」은 대기업인 이동통신 3사 (SK텔레콤, KT, LG유플러스)의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분히 이루어지지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들입니다. 또한 해당 법안들은 대기업 이동통신사를 제외한 다수의 인터넷기업과 스타트업 기업, 소비자단체, 시민사회단체들이 각각의 이유를 들어 큰 우려를 표하고 있는 법안들이며, 동시에 많은 사회적 논쟁이 이루어지고 있는 사안들이기도 합니다.

그러나 국회 과방위와 정부는 대다수 국민들에게 적지 않은 영향을 미칠 이 중요한 법안들을 처리함에 있어 충분한 공론화와 의견수렴, 논의절차 없이, 20대 국회 종료 시한에 맞춰 처리하기 위한 ‘졸속 추진’을 강행하고 있습니다. 게다가 해당 법안들에는 전국민적인 공분을 일으킨 ‘N번방 사건’의 재발을 방지하기 위한 내용과 이동통신사들에 대한 규제를 완화하는 내용, 소비자들의 가계통신비 부담을 가중시킬 우려가 높은 내용, 국내 인터넷·스타트업 기업에게 상당히 모호한 의무와 책임을 강제하는 내용이 뒤섞여있습니다. 국회와 정부가 N번방 법안을 앞세워 대형이통사들에 대한 규제는 완화하는 반면, 인터넷사업자들에게는 과도한 의무와 책임을, 소비자들에게는 가계통신비 인상 부담을 지우는 법안을 묶어서 처리하고자 하는 것은 아닌지 매우 의심스러운 상황입니다.

이에 우리 소비자·시민사회단체들과 인터넷·스타트업 기업들은 국회와 정부가 추진 중인 「전기통신사업법 일부개정법률안」, 「정보통신망법 일부개정법률안」, 「방송통신발전 기본법 일부개정법률안」의 졸속 추진을 즉각 중단할 것을 촉구합니다. 또한 곧 임기만료를 앞둔 20대 국회가 위 법안들을 이번 임기 내에 무리하게 처리할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구합니다.

2020. 5. 17.

사단법인 오픈넷, 참여연대, 코리아스타트업포럼, 
민생경제연구소, 소비자시민모임, 한국소비자연맹

문의: 오픈넷 사무국 02.581-1643, [email protected]

글 | 황성기 (한양대 법학전문대학원 교수, 오픈넷 이사장)

신종 코로나바이러스감염증(코로나19)에 대한 우리나라의 방역 및 대응은 현재 전세계적으로 모범적인 모델로 각광받고 있다. 우리나라의 코로나 대응전략은 투명성, 개방성, 민주성 등으로 요약될 수 있는데, 이러한 전략의 수행과정에서 개인정보의 활용은 필수적이다. 코로나19가 완전히 종식된 후에 우리나라의 감염병 예방에 관한 전반적인 시스템을 반성적으로 회고하고 성찰하는 시기가 올 것이다. 비록 현재까지는 세계적인 모범으로 각광받고 있지만, 100점 만점짜리 전략이나 시스템은 존재하기 어렵기 때문이다. 향후 시스템의 점검 및 개선에 있어서는 감염병 예방을 포함한 공중보건시스템과 개인정보를 포함한 프라이버시 보호의 문제를 균형있게 조화시킬 수 있는 방안을 모색할 필요가 있다. 이러한 차원에서 감염자의 과거 위치정보를 국가기관이 제공하는 확진자 동선(이동경로) 공개 정책과 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책의 문제를 한 번 고민해 볼 필요가 있다.

먼저 확진자 동선 공개 정책은 ‘감염병의 예방 및 관리에 관한 법률’에 근거해서 이루어지고 있다. 보건복지부장관은 감염병 확산으로 인해 주의 이상의 위기경보가 발령되면 감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개해야 한다. 여기서 공개되는 정보에는 개인정보가 포함되기 마련이다. 왜냐하면 개인정보는 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하고, 성별, 연령, 이동경로, 이동수단, 진료의료기관 등은 서로 결합되어 개인을 식별할 수 있게 하기 때문이다. 문제는 공개되는 개인정보의 범위이다. 예컨대, 확진자가 다녀간 장소와 날짜 및 시간대만 공개하면 되지 성별, 연령 등 개인을 구체적으로 식별할 수 있게 하는 개인정보는 공개할 필요가 없지 않은가의 의문이 제기된다. 독일에서 우리나라의 확진자 동선 공개 정책과 비슷한 제도의 입법을 논의하다가 프라이버시 침해를 이유로 중단하고, 감염자의 휴대폰에 근접한 휴대폰에 자동으로 경고신호를 보내주는 방식을 논의하고 있는 것으로 알려졌는데 프라이버시 침해 문제에 대한 나름대로의 고민이 엿보인다.

다음으로 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책이다. 손목밴드 착용 강제 정책도 피부착자의 위치와 이동경로 등 위치정보를 실시간으로 파악하여 피부착자를 24시간 감시할 수 있도록 해 개인정보 침해 문제를 갖고 있다. 문제는 현재 법적인 근거도 존재하지 않는다는 점이다. 따라서 현재로서는 손목밴드 착용 강제는 불가능하다. 문제는 법률을 개정해서 도입하는 경우에도, 그 정당성에 대한 문제제기는 여전히 남는다는 점이다. 왜냐하면 자가격리 처분에 따르지 아니한 자에 대해서는 이미 ‘감염병의 예방 및 관리에 관한 법률’에 의해 300만원 이하의 벌금에 처해질 수 있기 때문에(처벌 수준이 너무 낮은 것이 아니냐의 문제는 별론으로 하더라도), 이에 더해서 손목밴드 착용 강제까지 추가하는 것은 프라이버시에 대한 과도한 침해라는 문제제기가 가능하기 때문이다. 실제로 손목밴드 착용 강제 정책이 제안됐을 때부터, 빅 브라더의 출현을 가능케 할 수 있는 강력한 시민통제장치들의 도입 유혹에 대해 경계하는 목소리도 분명히 존재했다.

결국 확진자 동선 공개 정책과 손목밴드 착용 강제 정책의 문제는 전체주의적 감시체제의 강화, 시민의 자유와 권리 수호 사이의 극단적인 대립 내지 양자택일의 문제는 아니라 하더라도 감염병 예방을 위한 개인정보의 활용 방식 및 범위와 관련해 고민하게 하는 화두를 던지고 있는 셈이다. 보다 심도있는 논의와 사회적 합의가 필요하다고 생각한다.

이 글은 아시아경제에 기고한 글입니다. (2020.05.08.)

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

코로나19의 영향으로 화상회의 수요가 급증하고 있으며, 그 중 가장 널리 이용되고 있는 화상회의 솔루션으로는 줌(Zoom)이 있습니다. 그런데 최근 “줌 폭격(Zoom bombing)” 등 여러 가지 보안 문제가 불거지면서 줌을 사용해도 되는지 우려하는 이용자들이 늘어나고 있으며, 캐나다 토론토대학교 산하 시티즌랩 연구소는 줌의 보안성에 대한 보고서를 공개하기도 했습니다. 이에 사단법인 오픈넷은 보다 안전한 줌 이용을 위해 미국의 정보인권 시민단체인 전자개척자재단(EFF)이 발표한 “프라이버시 보호와 트롤 방지를 위한 줌 설정 강화(Harden Your Zoom Settings to Protect Your Privacy and Avoid Trolls)“의 내용을 번역·수정해 배포합니다.

프라이버시 보호와 트롤 방지를 위한 줌 설정 강화

다음 단계를 수행하여 줌 프라이버시 설정을 강화하고 “줌 폭격” 트롤로부터 회의를 보호하세요. 아래의 각 설정은 개별적이므로 전부 적용하거나 순서대로 적용할 필요는 없습니다. 어떤 설정이 자신과 대화 그룹에 적합한지를 고려하고, 회의 호스트와 다른 참가자에게도 설정과 보안 수준에 대한 기대치를 공유해주시기 바랍니다.

<프라이버시 설정>

채팅 자동 저장 설정 해제

줌 프로필 설정의 회의 중(기본) 탭으로 들어가 채팅 자동 저장 버튼이 왼쪽으로 꺼져 있는지 확인하세요.

“Attention Tracking” 설정 해제 – 4/2부로 기능 삭제

가상 배경 사용

화상회의 중 참가자가 있는 공간은 거주지, 습관, 취미 등 많은 정보를 노출시킬 수 있습니다. 화상회의 배경에 사적 공간이 노출되는 것이 불편하다면 가상 배경을 설정하세요. PC에서는 왼쪽 하단 비디오 시작, 스마트폰 앱에서는 오른쪽 하단 더 보기로 들어가면 가상 배경을 설정할 수 있습니다. 

<트롤을 피하는 모범 사례>

줌이 그 어느 때보다도 널리 사용되면서, 줌의 공개 회의 ID 메커니즘은 침입자가 욕설, 비방, 음란물이나 혐오스러운 이미지를 퍼뜨려 회의를 방해할 수 있게 했습니다. 회의를 호스팅할 때는 다음의 단계를 수행하여 이러한 “줌 폭격”으로부터 자신과 회의 참가자를 보호하세요.

침입자는 두 가지 방법 중 하나로 회의를 찾을 수 있습니다: 활성화된 회의 ID를 찾을 때까지 랜덤하게 생성된 회의 ID를 돌려보거나, 페이스북 그룹, 트위터 또는 개인 웹사이트와 같은 공개된 장소에 게시된 회의 링크와 초대장을 이용할 수 있습니다. 따라서 회의 보안은 회의 참가자를 관리하고 회의 ID를 비공개하는 것으로 요약될 수 있습니다.

회의 ID를 비공개로 유지

가능하면 회의 링크 또는 회의 ID를 공개적으로 게시하지 마세요. 대신 신뢰할 수 있는 사람과 그룹에게 직접 보내세요.

회의 비밀번호 설정 및 회의 링크 확인

줌의 최신 업데이트 이후 교육용 계정뿐만 아니라 모든 계정에 대해 회의 비밀번호가 기본적으로 설정되어 있습니다.

그러나 줌 비밀번호는 예기치 않은 방식으로 작동할 수 있으니 주의하세요. “초대 URL 복사”기능을 사용하여 회의 링크를 복사하여 참가자에게 보낼 때 링크에 회의 비밀번호가 포함될 수 있습니다. 물음표 “?”가 포함되어 있는 비정상적으로 긴 URL을 주의하세요. 물음표는 회의 비밀번호가 포함되어 있음을 나타냅니다.

신뢰할 수 있는 참가자에게 회의 링크를 직접 보낼 때는 링크에 비밀번호가 포함돼도 아무런 문제가 없습니다. 그러나 페이스북 그룹, 트위터와 같은 공공 장소에 회의 링크를 게시하면 비밀번호 자체도 공개된다는 의미입니다. 이벤트를 온라인에 게시하는 경우 회의 ID만 게시한 다음 회의가 시작되기 직전 확인된 참가자에게 비밀번호를 별도로 보내세요.

비밀번호 설정을 찾으려면 내 계정 설정으로 들어가세요. “새 회의를 예약할 때 비밀번호가 필요합니다” 버튼이 오른쪽으로 켜져 있는지 확인하세요. 이 항목에서 다른 비밀번호 옵션도 확인할 수 있습니다.

화면 공유 잠금

내 계정 설정의 회의 중(기본) 항목에서 화면 공유를 호스트만으로 설정하세요. 이 경우 회의를 호스팅할 때 호스트만 화면 공유를 할 수 있고 다른 회의 참가자는 화면 공유를 할 수 없습니다.

호스팅하려는 회의에 따라 화면 공유 버튼을 왼쪽으로 이동하여 화면 공유를 완전히 끌 수도 있습니다.

참가자 확인을 위한 대기실 사용

줌의 최신 업데이트 이후 지금은 모든 계정에서 기본적으로 대기실이 활성화되었습니다. 대기실은 호스트가 새로운 참가자의 입장을 수락하기 전에 선별할 수 있도록 하여 방해꾼 또는 예상치 못한 참가자의 회의 참가를 막을 수 있습니다.

대기실은 내 계정 설정의 회의 중(고급) 항목에서 찾을 수 있습니다. 대기실 버튼이 오른쪽으로 켜져 있는지 확인하세요.

회의 잠금

모든 참가자가 들어오면 다른 사람이 참가하지 못하도록 회의를 “잠글” 수 있습니다. 줌 화면에서 보안 아이콘을 클릭한 뒤 옵션 맨 위 회의 잠금을 체크합니다.

보안 아이콘 옵션

위에서 설명한 다양한 설정에 액세스하는 또 다른 방법은 줌 회의를 호스팅할 때 화면 하단에 보이는 보안 아이콘을 사용하는 것입니다. 보안 아이콘을 사용하면 회의 잠금, 대기실 사용 및 회의 참가자의 화면 공유 제한과 같은 설정으로 빠르게 이동할 수 있습니다. 줌의 보도자료는 이 기능에 대해 더욱 자세히 설명하고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

세계 최대 아동성학대와 성착취물 사이트를 운영한 웰컴투비디오(W2V) 운영자인 손정우에 대한 미국 법원의 범인인도요청에 대한민국 법원이 결국 불허 결정을 내렸다. 아동과 여성을 성적으로 학대하고 이를 이용해 금전적인 수익을 노린 이들의 성적 착취 행각에 강도 높은 처벌이 이루어질 수 있도록 아동성학대물과 성표현물을 구분하는 양형기준을 세울 것을 요구해왔던 사단법인 오픈넷은 대한민국 법원의 이와 같은 결정에 깊은 유감을 표명한다. 나아가 한국 사회의 관대한 성범죄 처벌 문화가 하루빨리 해결될 것을 강력히 바라는 바이다. 

30여 개에 달하는 국가가 공조하여 손정우를 잡아들였다는 사실은 이 사이트에서 유통된 성범죄물의 규모를 어림짐작하게 한다. 그럼에도 불구하고 손정우에 대한 18개월의 실형이라는 기존의 국내법상 처벌은 지나치게 관대했다. “미국이나 영국 국적의 피의자들이 받은 형량을 비교해보면, 음란물 유포, 성폭행 혐의 등으로 기소된 영국인 카일 폭스(26)는 징역 22년형을 선고받았고, 아동 음란물 수령 및 돈세탁 혐의를 받는 미국인 니콜라스 스텐겔(45)에게는 징역 15년, 종신보호관찰형이 선고됐다. 특히 미국인인 전 국토안보수사국 요원 리처드 니콜라이 그래코프스키(40)는 영상을 1회 다운로드하고 해당 웹사이트에 1차례 접속한 혐의로 징역 70개월, 보호관찰 10년, 그리고 7명의 피해자에 대한 3만 5000달러 배상을 선고”받았는데, 정작 W2V의 운영자보다 훨씬 무겁게 처벌을 받은 것이다. 미국 측의 범죄인 인도요청에 한국 사회가 큰 기대를 걸었던 이유는 범죄에 비해 납득할 수 없이 가벼웠던 처벌을 보완할 수 있는 처벌이 이루어질 수 있을 것이라는 희망 때문이었다. 

그러나 범죄인 인도조약이 그와 같이 이중처벌의 도구가 되어서는 안 된다. 이에 따라 미국 정부는 한국 정부가 손정우에게 적용하지 않은 범죄수익은닉죄로 인도신청을 하였다. 미국 정부가 새로운 죄목으로라도 손정우를 미국으로 불러 처벌하려 한 것은 국제적인 범죄로 미국 국민에게도 영향을 끼친 범죄임을 고려할 때 충분한 공익적인 이유가 있다. 이런 맥락을 염두에 둔다면 재판부의 이번 결정은 더욱 실망스러운 것일 수밖에 없다. 한국이라는 지역성에 매몰되지 않아야 하는 국제적 규모의 사건임에도 불구하고 사이버 범죄의 특수성에 대한 깊은 고려없이 범인의 소재지가 한국이었다는 근거를 들며 미국 송환을 불허하였다. 국내 W2V 회원들에 대한 수사를 근거로 들어 재판부가 내린 이 결정은 그렇기 때문에 명백히 사건의 규모를 축소시켰다. 

재판부는 손정우를 정당하게 처벌할 수 있도록 미국 송환 불허 결정을 내렸다고 했다. 그러나 이와 같은 재판부의 ‘결단’을 우리 사회가 그리 신뢰하는 것 같지는 않다. 판결 이후 쏟아져 나오는 전문가들의 의견은 재판부에 대한 사회의 불신이 허황된 것만은 아님을 뒷받침한다. 법적 전문가들은 미국의 ‘자금세탁방지법’은 암호화폐에 대해서도 엄격하게 혐의를 적용해 처벌이 가능하지만, 국내법에서는 암호화폐의 가장·은닉(자금세탁)에 대한 공소유지가 어려우며, 관련 법규정이 미비한 상태라 검찰이 기소를 못한 것이라 하였고, 범죄수익을 추징하거나 몰수하는 경우는 많지만 자금세탁은 자금의 은닉을 입증하기 굉장히 까다로울 뿐만 아니라 관련 법조항도 상당히 복잡하다고 한다. 또한 범죄수익 은닉의 규제 및 처벌 등에 관한 법률 개정안이 시행된 지난해 4월부터 이달 4일까지 1년 간 성폭력처벌등에관한특례법 제14조를 위반한 범죄에 대한 범죄수익 몰수와 추징보전 사례는 1건이 유일하다. 무엇보다 국내 사법체계에서 범죄수익은닉 혐의에 대한 법정 최고형이 징역 5년, 벌금 3000만원이라 해외 처벌수위보다 상당히 낮다. 결국 세계의 수많은 아동들에게 피해를 입힌 “세계에서 가장 위험한 아동성범죄자”인 손정우는 한국 사법당국의 섣부른 처리로 가벼운 처벌만 받고 끝나버려 그렇게 많은 나라들의 공조로 이룬 성과를 우리나라가 거의 무산시켜버리는 부끄러운 이력으로 남을 가능성이 높아졌다. 

디지털 성범죄를 관대하게 다룬 결과가 얼마나 끔찍할 수 있을 것인지를 보여주는 사건이 ‘웰컴투비디오’와 ‘n번방’ 사건일 것이다. 우리 사회는 사회적 약자인 여성과 아동을 대상으로 한 성학대물의 배포는 물론이고 이를 통해 금전적인 수익을 갈취하는 것이 심각한 범죄 행위라고 인식해야 한다. 오픈넷은 성학대물의 소지에 대해서도 논의가 시작되어야 한다는 의견을 낸 바도 있다. 오픈넷은 손정우가 정당한 처벌을 받기 바란다는 서울고법 형사20부 강영수 부장판사의 바람과 여성과 아동에게 영구히 피해를 입히는 성학대와 착취물의 근절을 위해 사법 당국이 손정우의 남은 죄를 샅샅이 밝혀 강력하게 처벌할 것을 촉구한다. 

2020년 7월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)  

동의를 대체하는 것은 가명화가 아니라 공익적인 과학연구

공익적인 과학연구는 연구결과의 공유를 전제로

재식별키와 연구 데이터는 별도 보관되어야

2020년 2월 4일의 개인정보보호법 개정은 공익적 기록 과학연구 및 통계 목적의 “추가처리” 조항들을 도입하기 위해 이루어졌다. 이는 개인정보 이용의 활성화를 위해 GDPR이 정보주체의 동의 없이 새로운 목적으로 정보를 처리(소위 “추가처리”) 하도록 허용하는 조항들 중에서 가장 활용가능성이 명확한 부분이다. 그러나 GDPR 기준을 구현하기 위해서는 다음과 같은 면에서 추가 입법 또는 하위법령 제정작업이 필요해보인다. 3월 31일 예고된 시행령은 이와 같은 요구에 한참 못 미친다. 

첫째, 가명화를 전제로 하여 이루어지는 과학연구의 연구결과물이 사회 전반에 공유되도록 의무화하기 위한 추가입법이 필요하다. 특히 현재 해석상 동의 없는 추가처리가 ‘상업적 연구’도 포함하게 되는데 이 경우 공익성의 확보를 위해서 연구결과의 공유가 필요하다. 가명화된 정보는 다른 정보와 용이하게 결합하여 식별성을 갖추게 되므로 당연히 개인정보이고, 이와 같은 개인정보를 정보주체의 동의 없이 새로운 목적으로 이용하도록 허용하는 “특례”가 인정되기 위해서는 공익적인 성격이 명백해야 한다. 즉 GDPR 전문이 유럽연구공역(European Research Area)을 언급하며 암시하고 있듯이 연구의 혜택이 사회에 환원되는 경우에만 동의 없는 추가처리가 허용되도록 하여 공익성을 보장하는 방향으로 법개정 또는 시행령 제정을 할 필요가 있다. 

둘째, GDPR 및 유럽의 기타 개인정보보호법들이 과학연구 목적을 동의요건 면제의 근거로 삼는 반면, 우리나라 개인정보보호법 개정안은 가명화를 동의요건 면제의 근거로 삼으면서 입법불비가 발생했다. 즉 가명화만 되면 과학연구 목적이 없음에도 불구하고 열람권, 정정권, 삭제권, 처리거부권 등의 정보주체의 권리들이 제한될 가능성이 열린 것이다. 이 조항은 각종 기업들이 연구 등의 공익적 목표와 무관하게 정보를 가명화하여 정보주체들의 권리를 제한할 위험을 발생시킨다. 물론 이 때 추가처리 또는 제3자제공은 동의가 요구되겠지만 포괄적 동의 등의 방법으로 우회할 수 있다. 시민단체들이 법개정 때문에 기업들에 의한 개인정보 판매가 더욱 수월해졌다고 주장했는데 과학연구목적이 아닐 경우에도 시민들의 옵트아웃(처리거부) 권리가 제한된다는 면에서 타당한 주장이다. 

셋째, 우리나라 개정법은 2개 이상의 데이터베이스의 결합을 국가기관이 지정한 전문기관이 하도록 하고 있는 반면, 결합의 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못 하도록 하는 유럽의 실무를 조문에 반영하고 있지 못 하고 있다. 하나의 전문기관이 재식별키와 연구대상 데이터를 보관하게 될 경우 프라이버시 침해 위험은 훨씬 높아진다. 3월 31일 예고된 시행령도 이 위험에 대한 대비책을 제시하지 못 하고 있다. 

개인정보보호법 가명화 도입이 원래 목적대로 프라이버시 보호와 개인정보 활용 사이의 균형을 잡도록 하기 위해서 위와 같은 과제들이 선결될 것을 요구한다. 

2020년 4월 9일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

여성을 협박하여 자신을 성적으로 학대하도록 하거나 다른 남성을 시켜 여성을 강간해 얻어낸 디지털 이미지와 영상을 텔레그램으로 공유해 온 n번방/박사방 사건에 온 국민이 분노하고 있다. 사건이 터지자 정치인들은 발빠르게 해법이라며 ‘성폭력범죄의 처벌 등에 관한 특례법’(“성폭력처벌법”), 정보통신망법, ‘아동·청소년의 성보호에 관한 법률’(“청소년성보호법”), ‘형법’ 등 관련 법 개정안을 내놓고 있지만 기시감이 든다. 웹하드, 소라넷 등 디지털 성범죄 관련 사건이 터질 때마다 웹하드 처벌법, 몰카 방지법, 아동음란물 유통방지 의무법 등 처벌을 강화하는 수많은 법안이 쏟아져 나왔고 입법되었으나 디지털 성범죄는 줄어들기는커녕 증가하고 있고 그 처벌도 피해자들과 국민들의 법감정을 충족시키지 못하고 있다. 작년 웰컴투비디오 운영자가 징역 1년 6개월이라는 솜방망이 처벌을 받은 것처럼 박사방 운영자 조주빈의 범죄행위 역시 솜방망이 처벌에 그치지 않을까 우려하고 있는 상황이다. 이에 사단법인 오픈넷은 n번방 사태 재발방지를 위해 국회는 정보통신망법과 형법상 음란물 관련 규정을 재정비하여 음란물과 디지털 성범죄물을 명확하게 구분하여 후자에 대한 법적·문화적 경계심을 고양시키고, 사법부는 디지털 성범죄에 대한 양형기준을 신설할 것을 요구한다.

음란물과 디지털 성범죄물의 구분이 절실

디지털 성범죄에 대해 반복적으로 솜방망이 처벌이 내려지고 있는 원인 중 하나는 디지털 성범죄물에 관대한 한국사회의 문화 때문이다. 이런 문화는 수사기관의 수사 방식이나 법원의 양형에 영향을 미치고 있으며 그렇기 때문에 우리는 계속 디지털 성범죄에 대한 솜방망이 처벌을 목도할 수밖에 없다. 더 문제적인 것은 범죄자들 역시 성범죄에 관대한 양형 기준을 학습하며 더 끔찍한 범죄를 계획했다는 것이다. 성범죄에 관대한 문화의 뿌리 중 일부는 음란물과 디지털 성범죄물을 명확히 구분하지 않는 형사법제에 있다.

음란물이란 “단순히 저속하다거나 문란한 느낌을 준다는 정도를 넘어서서 존중·보호되어야 할 인격을 갖춘 존재인 사람의 존엄성과 가치를 심각하게 훼손·왜곡하였다고 평가할 수 있을 정도로, 노골적인 방법으로 성적 부위나 행위를 적나라하게 표현 또는 묘사한 것”을 말하며(대법원 2008. 3. 13. 선고 2006도3558 판결) 성도덕의 보호를 목적으로 한다. ‘불법 촬영물’은 성행위는 자발적일지라도 그 촬영 또는 배포가 촬영대상의 의사에 반하게 이루어지는 것을 말하며 촬영대상의 성적 프라이버시 보호를 목적으로 한다. ‘아동 성착취물’은 아동의 성행위 또는 선정적인 행위를 촬영한 것으로서 촬영된 아동에게 미치는 정신적 피해의 방지를 목적으로 한다. 중요한 것은 ‘불법 촬영물’, ‘아동 성착취물’은 촬영 대상에 대해 끔찍한 피해를 끼치는 성범죄이기 때문에 직접적인 피해자가 없는 음란물과는 구분되어야 하고 처벌도 질적으로 달라야 한다. 이렇게 구분이 명확히 되었다면 n번방 사건을 “야동을 본 것 정도”로 생각하는 일각의 몰이해를 예방할 수도 있었을 것이다.

불행히도 우리 법제는 구분을 명확히 하지 않는다. 청소년성보호법은 실존아동에 대한 성착취가 이루어지지 않는 소위 “교복물”이나 미성년자 캐릭터가 등장하는 애니메이션 등을  “가상아동” 음란물도 “아동으로 명백히 인식될 수 있는 사람이나 표현물”이 등장한다는 이유로 “아동청소년이용음란물”이라고 보고 있다. 그러다 보니 현실에서는 실존아동을 강간해 아동 성착취물을 만든 제작자나 아동 캐릭터가 등장하는 음란한 만화를 그린 만화가나, 아동 성착취물 소지자나 어려보이는 성인배우가 등장하는 교복물 소지자나 똑같은 조항이 적용되어 사법적 판단을 받는다. 그러다보니 우리나라의 아동음란물 사건 중에는 웰컴투비디오와 같은 아동 성착취물 보다는 애니메이션이나 교복물과 같은 ‘가상아동 음란물’이 문제된 사건이 훨씬 많다. 이런 현실은 여러 문제를 발생시킨다. 모든 범죄를 수사해야 하는 수사기관 입장에서는 수사자원을 디지털 성범죄물 단속에 최우선적으로 투입하지 못하고, 법원의 입장에서는 아무리 죄질이 다르더라도 같은 처벌 조항이 적용되기 때문에 극단적으로 차이나는 형벌을 선고하지 못한다. 여기에 포르노그래피, 소위 “야동”은 대부분 음란물에 해당하지 않지만 엄격한 청소년유해매체물 규제에 의해 마치 불법 영상인 것처럼 삭제·차단되는 상황이  혼돈을 가중시키고, 심지어 디지털 성범죄물도 “야동”으로 인식하게 만들고 있다.

그렇기에 우리나라 형사법제상 음란물과 디지털 성범죄물의 구분이 절실하다. 강요·협박·강간·아동성착취·불법촬영 등 범죄행위의 결과인 디지털 성범죄물 관련 조항을 신설 및 강화하고, 아동청소년음란물은 ‘가상아동 음란물’과 ‘실존아동 성착취물’을 구분하여 형벌을 달리해야 한다. 

또한 이에 맞춘 디지털 성범죄 양형기준의 신설이 필요하다. 양형기준은 법관이 형을 정하는 데 참고하는 기준으로, 대법원 양형위원회에서 결정한다. 살인과 뇌물, 성범죄, 횡령·배임 등 20개 중요 범죄에 대해서는 양형기준이 수립되어 있지만, 아동 성착취물이나 디지털 성범죄에 대한 양형기준은 아직 없다. 이번 사건을 계기로 대법원 양형위원회가 양형기준을 만든다고 하니 불행 중 다행이지만, 아동 성착취물과 디지털 성범죄물의 특수성과 국민의 법감정을 잘 반영해 납득이 가는 수준으로 기준을 신설해야 할 것이다.

양형기준의 신설 외에 지금 제시되는 해결책으로 법정형 강화와 소지죄 신설이 있는데,  이 두 가지 방안에 대한 접근은 신중해야 한다. 특히 디지털 성범죄의 법정형을 늘리는 것은 솜방망이 처벌의 해결책이 되기 어렵다. 관련 법정형이 다른 범죄와 비교하여 낮은 편이 아닌데도 불구하고 솜방망이 처벌이 이루어지고 있기 때문이다. 19세 미만 미성년자를 대상으로 하는 성범죄에 관한 청소년성보호법에 의하면 아동 성착취물 제작이나 아동의 강간은 동일하게 무기 또는 5년 이상의 징역형에 처해진다(아동 성착취물 제작 과정에서 아동에 대한 강간이 이루어지므로 당연하다). 살인죄가 사형, 무기 또는 5년 이상의 징역이라는 것을 감안하면 약한 형이 아니다. n번방과 같이 아동 성착취물을 영리 목적으로 배포하는 경우는 10년 이하의 징역으로, 사람을 폭행이나 협박으로 강제추행하는 것과 동일하게 처벌받는다. 또한 성폭력범죄의 처벌 등에 관한 특례법(“성폭력처벌법”)에 의하면 불법 촬영물을 촬영하거나 배포하는 경우 5년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있는데, 정보통신망법상 음란물 배포죄가 1년 이하의 징역 또는 1천만원 이하의 벌금이라는 점에 비교하면 일반 음란물에 비해 불법 촬영물 배포는 5배 이상 가중처벌되고 있다.

실효성 없고 이용자 프라이버시 침해하는 플랫폼의 모니터링 의무 신설 지양하고 자율규제 유도해야

n번방 관련 발의된 법안 중에는 청소년성보호법 제17조 온라인서비스제공자의 의무와 유사하게 텔레그램과 같은 플랫폼이 불법촬영물을 발견하여 즉시 기술적 조치를 취하도록 하고, 하지 않을 시 처벌하는 내용도 있다. 하지만 우리나라는 이미 플랫폼에게 불법정보 유통방지 의무를 과도하게 부과하고 있다. 디지털 성범죄물 관련해서는 2011. 9. 15. 청소년보호법 개정을 통해 온라인서비스제공자의 아동음란물 발견 즉시 삭제 또는 전송 중단을 할 기술적 조치 의무가 도입되었고, 2015. 4. 14. 전기통신사업법 개정을 통해 웹하드 사업자의 음란정보 유통 방지를 위한 기술적 조치 의무가 도입되었다. 그 밖에 청소년보호법과 정보통신망법상 음란물 관련 규제도 존재한다. 이렇게 강력한 플랫폼 규제가 효과가 있었다면 우리나라 인터넷상에는 디지털 성범죄물이 아예 존재하지 않았어야 한다. 그러나 규제를 통한 효과를 전혀 기대할 수 없는 현실에 비추어 볼 때 실효성 없는 플랫폼 규제 신설은 지양해야 한다.

한편 플랫폼 사업자에게 디지털 성범죄물을 발견할 기술적 조치를 취할 의무, 즉 모니터링 의무를 지운다면 플랫폼을 이용하는 절대 다수의 선량한 이용자들의 개인정보자기결정권과 통신 비밀의 자유가 침해된다. 왜냐하면 디지털 성범죄물을 발견하기 위해 사업자는 자신의 플랫폼상 오가는 통신 내용을 포함한 모든 정보를 모니터링해야 하기 때문이다. 대화방 모니터링의 경우에는 통신비밀보호법 위반 소지도 있다. 게다가 기업 차원에서는 엄청난 자원을 투자해야 하는데 스타트업 같이 영세한 곳은 플랫폼 사업을 포기해야 할 수도 있다.

게다가 디지털 성범죄물만 100% 골라내는 기술은 아직 존재하지 않는다. 현행법이 규정하고 있는 기술적 조치는 키워드에 의한 필터링이나 동영상 해시값 기반 필터링인데 별로 효과적이지 못하다. 해시값 기반 필터링의 경우에는 컴퓨터가 1차로 걸러낸 영상을 인간이 육안으로 보고 성범죄물인지 여부를 확인한 동영상의 해시값 데이터베이스에 기반하는데, 매일 엄청나게 쏟아지는 영상을 일일이 다 확인한다는 것은 불가능하기 때문에 한계가 있을 수밖에 없다. 그리고 AI 기술도 완벽하지 않아서 합법적 성인물인지 디지털 성범죄물인지는 결국 인간의 판단이 필요하다. 그렇기에 페이스북을 포함해 AI 기술을 활용하는 대기업들도 불법정보 여부에 대해 최종 판단을 내리는 직원들을 두고 있다.

해외 사업자의 경우 국내법 적용을 받지 않아 단속이 불가능하다는 주장도 있으나, 역외적용 규정을 도입한다 해도 집행력의 한계가 있을 수밖에 없고, 그렇다고 매일 새롭게 생겨나는 해외 플랫폼의 이용을 막는 것은 중국처럼 만리방화벽을 쌓지 않는 한 불가능하며, 플랫폼의 합법적인 이용까지 차단하는 결과를 낳는다. 그리고 음란물에 대한 기준은 나라마다 다르기 때문에 한국법을 적용한다고 해결될 문제가 아니다. 다만 아동 성착취물에 대해서는 대부분의 나라에서 극악무도한 범죄로 취급하기 때문에 국제적인 수사 및 사법공조가 잘 이루어지고 있는 편이다. 

따라서 실효성 없고 이용자의 프라이버시까지 침해하는 모니터링 의무나 기술적 조치 의무를 신설하기 보다는 디지털 성범죄 신고가 들어오면 바로 차단·삭제하도록 플랫폼 사업자의 자율규제를 장려하고, 디지털 성범죄물의 피해자를 빨리 찾아서 구제하는 방향으로 나아가야 한다. 미국의 경우 아동 성착취물을 발견하면 플랫폼 사업자는 삭제하기 전에 수사기관에 신고부터 해야 하고, 신고받은 수사기관은 피해자 구제에 나서고 플랫폼 사업자는 그 다음에 삭제 의무가 발생한다.

제일 중요한 건 피해자 보호 및 지원

마지막으로 제일 중요한 건 피해자들이 일상으로 빠르게 복귀할 수 있도록 하는 것이다. 가장 먼저 유포된 디지털 성범죄물의 삭제 및 재유포 방지 지원과 법률상담이 필요하다. 다음으로 신체적, 정신적 치료에 대한 지원이 이루어져야 한다. 이미 국가 차원에서 다양한 지원을 제공하고 여러가지 대책을 내놓았지만, 활동가들이 지적하는 법적 공백을 메워야 하며, 예산 증액 등으로 더욱 실질적인 지원이 이루어지도록 해야 한다.

2020년 4월 6일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[보도자료] 오픈넷, 아청법 개정안(신창현, 23925)에 대한 의견서 제출 (2019.12.19.)
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)
[보도자료] 오픈넷, UN CRC ‘아동매매·성매매 및 아동음란물에 관한 선택의정서 지침’에 대한 의견 제출 (2019.10.11.)
당신이 아청법에 관해 알아야 할 다섯 가지 (슬로우뉴스 2015.7.7.)
[논평] 헌법재판소의 아청법 제2조 제5호 합헌 결정에 대한 오픈넷의 논평 (2015.6.25.)
[논평] 성인교복물 및 애니메이션에 대한 법원의 아청법 무죄 판단을 환영한다.(2014.9.30.)
[논평] “애니메이션에 아청법이 적용되는 경우 위헌”이라는 수원지방법원 안산지원의 결정을 환영한다. (2013.8.20.)
마이너리티 리포트, 한국에서 아청법으로 현실화하다 (슬로우뉴스 2013.7.22.)
[논평] 수원지방법원의 성인교복물 아청법 무죄 판결을 환영한다. (2013.6.27.)
[논평] 법원의 아청법 위헌법률심판 제청을 환영한다. (2013.5.30.)
[오픈블로그] 아동·청소년이용음란물 관련사건 1년 만에 22배 늘었다. (2013.3.29.)
[보도자료] 사단법인 오픈넷, 아동∙청소년성보호법 과도한 적용에 헌법소원 제기 (2013.3.14.) 
[오픈블로그] 아청법 개정안, 실존하는 아동·청소년의 표현물인 경우에만 처벌 (2013.3.6.) 

글 | 김가연(오픈넷 변호사)

일시: 2019. 7. 31(수) – 8. 2.(금), 3일간

장소: 캐나다 토론토대학교 뭉크스쿨(Munk School of Global Affairs)

참석자: 김가연(오픈넷 변호사)

CLSI 2019 Agenda 보기

Citizen Lab Summer Institute (CLSI)는 캐나다 토론토대학교 뭉크스쿨 산하 시티즌랩 주관으로 2013년부터 매년 여름 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 보안 및 정보인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다. 오픈넷은 2015년 처음 시티즌랩의 초청을 받아 CLSI 2015에 참가한 이후 매년 참가하고 있습니다.

CLSI 2019에는 김가연 변호사가 참가했으며, 참가의 주된 목적은 오픈넷이 2016년 시티즌랩과 공동으로 진행한 AMI (Ask My Info) 연구 최종 보고서 마무리와 AMI 연구의 일환으로 진행중인 KT 상대 개인정보 공개 청구 소송 전략 모색이었습니다. AMI는 통신사들이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트로, 2014년 시티즌랩과 Open Effect의 주도로 캐나다에서 처음으로 시작되었습니다. 오픈넷은 2016년에 국내에서 AMI 연구를 수행했는데, SKT, KT 및 LGU+ 주요 이통 3사를 대상으로 두 단계에 걸쳐 진행되었습니다.

김가연 변호사는 첫날 진행된 오리엔테이션과 이후 이틀 간 5개의 세션/워크샵에 참석했습니다. 그 중 “정보주체의 정보접근권(Data Subjects’ Right to Access Information)”세션이 특히 유용했습니다. 세션 주최자인 Lights Institute의 Maristela Miranda는 필리핀의 개인정보보호법제와 정보주체의 권리에 관한 내용에 대해 발제를 했는데, 필리핀의 개인정보보호법상으로는 열람청구권이 존재하지만 아직까지 권리를 행사할 방법이 마련되어 있지 않다며 어려움을 토로했습니다. 세션 참가자 대부분이 열람청구권 관련 소송을 해본 경험이 있는 변호사들이어서 흥미로운 토론이 이루어졌습니다. 김가연 변호사는 한국에서 AMI 연구를 진행한 경험을 공유했습니다. 

세션 참석과 별개로 시티즌랩의 AMI 연구팀과 만나 최종 보고서를 마무리하고 KT 소송에 대해 도움이 될 수 있는 자료를 받아 소기의 목적을 달성할 수 있었습니다. AMI 연구 관련 더 자세한 내용은 아래 논평에서 확인할 수 있습니다.

시티즌랩, 오픈넷이 참여한 아시아 5개국 통신사 개인정보 열람청구권 보장 실태 연구 결과 발표

2019년 12월 27일 국회 법제사법위원회의 통신비밀보호법 대안(이하 “법사위 대안”)이 본회의를 통과하였다. 하지만 법사위 대안은 사단법인 오픈넷이 비판했던 정부 발의 통신비밀보호법 개정안의 문제점을 고스란히 가지고 있으며, 헌법재판소의 결정과 국가인권위원회의 의견을 제대로 반영하지 못하고 있다. 국회는 최대한 빠른 시일 내에 아래 세 가지 흠결을 보완한 개정안을 마련해야 할 것이다.

과도하게 긴 통신제한조치 연장기간 단축

법사위 대안은 통신제한조치(감청)를 연장하는 경우 총 연장기간은 1년을 초과할 수 없고, 내란·외환의 죄 등의 일부 범죄에 대하여는 3년을 초과할 수 없도록 규정했는데, 감청의 연장기간을 원칙적 1년, 예외적 3년으로 규정한 것은 근거가 불명확할 뿐만 아니라 과도하게 긴 기간이라 헌법재판소 결정의 취지에 어긋날 소지가 있다는 것이 인권위의 의견이다. 감청의 총 연장기간을 보다 짧은 기간으로 정하고 연장의 횟수도 제한할 필요가 있다.

실시간 위치추적과 기지국 수사를 포함한 모든 통신사실 확인자료 제공 요건 강화

법사위 대안은 정부안과 마찬가지로 통신사실확인자료 중 ‘실시간 위치정보 추적자료’와  ‘기지국 수사’ 통신사실 확인자료에 대해서는 “다른 방법으로는 범죄의 실행을 저지하기 어렵거나 범인의 발견·확보 또는 증거의 수집·보전이 어려운 경우”에만 제공받을 수 있다고 하여 보충성의 요건을 추가하였다. 이는 헌법재판소의 관련 결정을 반영한 것이다(헌재 2018.6.28. 2012헌마191·550, 2014헌마357(병합), 헌재 2018.6.28. 2012헌마538). 

헌법재판소는 현행법과 같이 ‘수사의 필요성’만을 이유로 국가기관이 위의 두 가지 통신사실 확인자료를 취득할 수 있도록 하는 것은 과잉금지원칙에 어긋난다고 판단했다. (1) 실시간 위치추적의 경우, 혐의가 있는 사람에 대한 것이라고 할지라도 그 위치정보는 통신의 내용만큼이나 “사적 생활의 비밀과 자유에 관한 것”이기 때문이고, (2) 기지국수사의 경우, 수사 편의를 위해 “범죄와 아무런 관련도 없는 사람들의 정보를 대량으로 제공받는 것”은 예외적으로 허용되어야 하기 때문이다.

그러나, 법사위 대안의 내용은 헌법재판소 결정의 최소한의 요구만을 반영한 것이며 위 두 가지 통신사실 확인자료뿐만 아니라 모든 통신사실 확인자료 제공의 요건을 지금보다 더 강화해야 한다. 일반적인 통신사실 확인자료 제공에 있어서도 미국의 기준(‘관련성을 보여주는 구체적이고 명시가능한 사실의 증명’)이나 독일의 기준(‘통신데이터의 수집이 사건의 죄질에 비추어 적절한 관련성이 있는 때에 한하여’)에 비하면 우리나라의 ‘수사의 필요성’은 터무니없이 낮은 요건이기 때문이다.

감청 통지 절차 개선

현행 통신비밀보호법은 감청의 대상자에 대한 사후통지만 규정하고 있고 사전통지는 규정하고 있지 않아, 정보주체로서는 그 사실을 통보받기 전까지는 자신이 어떤 절차와 내용으로 감청당했는지 알 수 없는 구조이다. 사후통지의 경우에도 감청의 집행 종료일이 아닌 감청을 집행한 사건에 관한 처분을 한 날을 기준으로 통지를 하고 있으며, 또한 그 사유에 대해서는 통지하지 아니할 수 있도록 함으로써 정보주체는 수사기관으로부터 사후통지를 받더라도 자신이 어떠한 사유로 감청당했는지 전혀 짐작할 수 없다. 또한 통지유예 제도에서 유예 기간을 한정하고 있지 않고 관할 지방검찰청 검사장 등 수사기관의 승인으로 유예를 할 수 있어 사실상 무기한 통지유예가 이루어질 수 있다.

그런데 법사위 대안은 통신사실 확인자료 제공 통지 절차만 개선할 뿐 감청 통지 절차는 전혀 손을 대지 않았다. 결국, 통신사실 확인자료에 대해서는 비교적 빨리 통지를 받게 되는 반면, 사생활의 비밀을 더욱 크게 침해하는 감청에 대해서는 수사기관의 처분이 내려질 때까지 피감시자는 자신이 감청당하고 있다는 사실을 전혀 인지할 수 없다는 큰 모순이 존재한다. 감청에 대해서도 사후통지 기간을 ‘집행 종료한 날로부터 30일 이내’ 또는 가능하면 더 단기로 개선해야 한다. 또한 법사위 대안의 통지 조항에 의하면 여전히 수사기관의 승인으로 통지유예를 할 수 있게 되어 무기한 통지유예가 이루어질 수 있다. 통지유예에 대해서도 적정한 통지유예 기간을 정하고, 이를 초과할 경우 법원의 허가를 받게 하며, 통지유예 결정 자체도 법원의 허가를 받도록 해야 한다. 

국회는 법사위 대안의 흠결을 보완하여 국민의 통신 비밀을 더욱 실질적으로 보호하는 개정안을 조속히 마련하기 바란다.

2020년 1월 2일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 정부는 헌재 결정 취지에 충실한 통신비밀보호법 개정안을 새로 마련하라 (2019.05.09.)
[의견서] 통신비밀보호법 개정안(정부안)에 대한 오픈넷 의견서 (2019.05.10.)
통보되지 않는 감청·메일수색 (한겨레 2009.07.10.)

한국 이통3사 이용자 개인정보 열람청구권 보장 부족한 것으로 나타나

오픈넷 김가연 변호사, 연구의 일환으로 2017년 KT 상대 개인정보 공개청구 소송 제기해 1심 승소, 현재 항소심 진행중

지난 10월 16일 캐나다 토론토 대학교 산하 시티즌랩(Citizen Lab)은 한국, 홍콩, 호주, 인도네시아, 말레이시아 아시아 5개국 Access My Info(AMI) 프로젝트 연구 결과를 발표했다. AMI는 정보통신기업이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트이다. 사단법인 오픈넷이 참여한 본 연구 결과에서 한국은 연구 대상 국가들 중 가장 강력한 개인정보보호법제를 가지고 있지만, 통신사들은 이용자의 개인정보 열람청구권을 피상적으로만 보장하고 있는 것으로 나타나 제도와 실무 사이의 간극이 큰 것으로 밝혀졌다.

2014년, 시티즌랩과 오픈이펙트(Open Effect)는 민간 기업이 이용자의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 AMI 프로젝트를 시작했다. 연구방법론의 일환으로 일반 대중이 맞춤형 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴을 제공했는데, 이를 이용해 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 당시 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 아시아에서 AMI 프로젝트를 진행하기 위한 작업반을 구성했다. 작업반에 한국, 홍콩, 호주, 말레이시아, 인도네시아 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했으며, 한국 연구는 오픈넷이 맡았다. 2016년 1·2차에 걸쳐 진행한 연구에서 밝혀진 것은 이통3사가 모두 온라인 개인정보 열람신청 절차를 제공하고 있기는 하지만, 막상 회신을 받아보면 신청자에 대한 개인정보 자체는 제공하지 않고 KT는 일부 개인정보의 보유 여부만 O, X로 표시해서 제공하고, SKT와 LGU+ 개인정보 처리방침의 사본만 제공하고 있어 이용자의 개인정보 열람청구권을 제대로 보장하고 있지 않다는 것이다.

연구 결과에 기반하여 2016년 10월 오픈넷은 방송통신위원회(이하 “방통위”)에 KT의 부실한 개인정보 열람방식에 대해 진정서를 제출했고, 방통위는 이에 대한 답변으로 2018년 「온라인 개인정보 처리 가이드라인」을 발표하면서 “4. 개인정보 열람·제공 등 요구 운영 기준”에서 “열람·제공 등 요구에 대해 사업자는 개인화 조치된 정보의 형태(성명, 연락처, 로그기록, 쿠키 등)로 이용자가 제공받도록 조치해야 함”을 규정했다. 그렇지만 현재까지 이통3사의 관행은 여전하며, 이는 정보통신망법 제30조 위반으로 과태료 부과의 대상이다. 또한 오픈넷 김가연 변호사는 KT 이용자로서 모든 개인정보를 제공받기 위해 2017년 KT 상대로 개인정보 공개청구 소송을 제기했으며, 2018. 12. 4. 1심 승소 판결을 받고 현재 항소심의 판결을 기다리고 있다.

개인정보 열람청구권은 정보주체의 개인정보자기결정권 행사에 있어 가장 중요한 권리이다. 개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 정보주체는 동의 철회나 정정·삭제 요구 등 다른 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없기 때문이다. 2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있고, 이론상으로는 대부분의 개인정보보호법이 개인정보 열람청구권을 보장하고 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어려웠다. 이번 AMI 연구 결과는 아시아·태평양 지역 최초 개인정보 열람청구권에 대한 실증적 연구라는 점에서 매우 큰 의미가 있다고 할 것이다.

“Access My Info – Measuring Data Access Rights Around the World” 연구 보고서(영문)

Access My Info 연구 보고서 요약

• 우리가 인터넷 연결·통신에 사용하는 서비스를 제공하는 기업은 우리의 개인정보를 어떻게 처리하고 있는가?
• 어떤 유형의 정보를 수집하는가?
• 얼마나 오래 정보를 보관하고 있는가?
• 정보를 제3자와 공유하는가?

개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 소비자는 그들의 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없다.

2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있다. 많은 개인정보보호법제상 주요한 권리는 개인이 자신이 사용하는 제품이나 서비스를 제공하는 기업에게 보내는 서면 요청인 개인정보 열람요청(Data Access Requests, DAR)을 할 수 있다는 것이다. DAR은 기업이 한 사람에 대해 보유하고 있는 모든 정보를 공개할 것을 요구하며, 이는 언제, 어떻게, 누구에게, 그리고 어떤 이유로 그 사람의 개인정보를 공유하거나 공개하는지 그리고 기업의 개인정보보호 관행과 기업에 적용되는 개인정보보호법 준수에 관한 기타 세부사항을 포함한다. 개인정보 열람요청권은 이론상으로는 다수의 개인정보보호법에 포함되어 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어렵다.

2014년 시티즌랩(Citizen Lab)과 오픈이펙트(Open Effect)는 민간 기업이 개인의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 개인정보 열람요청과 관련 법, 정책, 기술을 활용하는 연구 프로젝트인 Access My Info(AMI)를 시작했다. 연구방법론에는 일반 대중이 서로 다른 산업에 맞춘 양식을 기반으로 한 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴이 포함되어 있다.

AMI는 캐나다에 처음 적용되었고, 그 결과 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 AMI 연구를 아시아로 가져와서 해당 지역에서의 DAR에 대한 대응을 비교적으로 측정하기 위한 작업반을 구성했다. 작업반은 다음과 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했다.

• 홍콩: Lokman Tsui 교수(홍콩중문대), Stuart Hargraves 교수(홍콩중문대), 키보드전선(Keyboard Frontline, 시민사회단체), 인미디어(InMedia, 미디어 그룹), Jason Lee 디자이너
• 대한민국: 김가연 변호사(오픈넷), 박경신 교수(고려대)
• 호주: Adam Molnar 교수(워털루대/디킨대)
• 인도네시아: Sinta Dewi Rosadi 교수(파드자드자란대)
• 말레이시아: Sonny Zulhuda 교수(말레이시아 국제이슬람대)

각 파트너는 각국의 통신사와 ISP에게 개인정보 열람요청서를 보내 고객에 대해 수집하는 정보의 유형, 보유 기간, 제3자와 공유 여부를 잘 알아보고자 했다. 또한 파트너들은 기업들이 요청에 답변하는 방법 즉, 요청의 이행에 얼마나 걸리는지, 요청자의 입장에서 노력이 얼마나 필요한지, 수수료를 청구하는지 또는 어떻게 청구하는지 등도 알아보고자 했다.

각 국가가 고유한 법과 맥락을 가지고 있는 반면, 우리는 이를 관통하는 일반적인 패턴을 발견했다.

아시아의 개인정보보호법제는 역동적: 아시아는 특히 이 연구를 실시하기에 흥미로운 지역이다. 왜냐하면 강력한 개인정보보호법을 가진 국가들과 개인정보보호법이 없거나 제정하는 단계에 있는 국가들을 포함하고 있기 때문이다. 모든 국가의 공통점은 개인정보보호의 요소가 유동적이거나 논쟁의 대상이라는 점이다.

한국은 이 지역에서 가장 강력한 개인정보보호법을 가지고 있지만, AMI 프로젝트를 통해 통신사들이 개인정보 열람요청을 피상적으로 준수하고 있음이 밝혀졌다. 이통3사는 온라인 개인정보 열람신청 절차를 가지고 있었지만, 개인정보 열람신청에 대한 답변으로 KT는 일부 개인정보의 보유 여부 목록만을 제공하고, SKT와 LGU+는 개인정보는 제공하지 않고 개인정보 처리방침의 사본만 제공했다. 이에 대해 AMI 파트너인 오픈넷은 불완전한 답변을 한 KT를 상대로 개인정보 공개청구 소송을 제기했다.

홍콩과 호주에서는 개인정보의 정의에 대한 논쟁을 불러일으켰다. 홍콩의 통신사와 ISP는 인터넷 프로토콜(IP) 주소와 지리적 위치(geolocation) 기록은 개인정보가 아니므로 사용자에게 제공할 필요가 없다고 주장한다. 현재 호주에서 IP 주소는 개인정보의 법적 정의에 포함되지 않는다.

개인정보보호법이 없거나 도입 중인 국가에서는 다른 문제에 직면했다. 말레이시아는 개인정보보호법을 제정했지만 강력하게 집행되지 않고 있다. 인도네시아는 개인정보보호법 초안을 만들었지만 아직 법률로 통과되지 않았다. 결과적으로 두 국가 모두에서 DAR은 기업들로부터 제한적인 회신을 받았다.

각국 통신사의 답변은 요청 사항과 일치하지 않았으며, 법적 요구 사항과 일치하지 않는 경우도 있었음: 전반적으로 통신사의 답변은 불완전했으며, 법적 요구 사항에 따르지 않는 경우도 있었다. 그리고 일반적으로 각국의 통신사들이 개인정보 열람요청을 제대로 처리하기에 충분한 절차를 아직 갖추지 못했다는 것이 확인되었다. 이러한 결과는 법률의 문언만을 검토하는 게 아니라 법률이 현실에서 어떻게 기능하는지 측정하는 것의 중요성을 보여준다.

본 보고서는 일련의 사례 연구로서 아시아 각국에 대한 연구 결과를 제공한다. 또한 비교를 위해 캐나다 연구 결과의 요약(최초의 AMI 시행 국가)을 포함시켰다.

2019년 11월 29일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 오픈넷, KT 상대 개인정보 공개 청구 소송 1심 승소 (2019.01.17.)
[2차 모집] 이통3사 개인정보 열람 실태 연구에 참여해주세요! (2016.08.11.)
이통3사 개인정보 열람 실태 연구 참가자를 찾습니다. (2016.01.18.) 

오픈넷, 2016년부터 통신자료 제공에 대한 국가배상청구소송 진행

1심과 2심에서 패소하고 현재 대법원 상고심 진행중

지난 8월 14일 서울중앙지방법원 제5민사부는 국정원, 경찰청, 검찰청 등에 의해 영장 없이 무단으로 개인정보가 수집된 에스케이텔레콤(SKT), 엘지유플러스(LGU+), 케이티(KT) 이동통신 3사의 이용자들이 대한민국을 상대로 제기한 국가배상청구소송 항소심에서 1심과 마찬가지로 원고들 패소 판결을 선고했으며, 이에 사단법인 오픈넷은 즉시 상고하여 본 소송은 현재 대법원에 계류중이다. 본 소송은 “수사기관의 권한 남용에 의해 통신자료가 제공되어 해당 이용자의 개인정보에 관한 기본권 등이 침해”된 경우에는 그 책임을 해당 수사기관에 직접 추궁하는 것이 타당하다고 한 대법원의 판결(대법원 2016. 3. 10. 선고 2012다105482 판결)에 따라 제기되었다. 그런데 실제 소송에서 하급심은 통신자료 제공의 위법성을 다툴 기회를 박탈하였으므로 대법원은 이를 시정할 필요가 있다. 

통신자료란 이용자의 이름, 주민번호, 주소, 전화번호, 아이디, 가입일 및 해지일 등의 개인정보를 말한다. 현행 전기통신사업법 제83조 제3항은 수사기관 등이 “수사, 재판, 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보수집을 위하여 [요청]”할 경우 통신자료를 제공할 수 있다고 되어 있고 피고인 수사기관들은 이 조항을 근거로 자신들의 행위가 합법적임을 주장하고 있다. 그렇다면 통신자료제공 요청이 적법했기 때문에 권한남용이 없다고 주장하는 피고가 그 요청의 적법성을 증명해야 할 책임이 있고, 이를 증명할 가장 확실한 방법은 통신자료제공요청서를 증거로 제출하는 것이다. 그러나 피고가 제출을 거부했기에 1심 법원은 원고들의 신청을 인용해 문서제출명령을 내렸다. 하지만 피고는 항고하였고 대법원에 의해 그 명령은 무효화되어, 원고들이 요청의 적법성을 확인할 방법이 없게 되었다. 정보공개청구를 통해  확보할 가능성도 있긴 하지만 정보공개청구는 여러가지 다양한 사유로 거부될 수 있고 실제로 대부분 공개를 거부당했다. 피고가 ‘통신자료제공요청서’로 자신의 행위를 정당화면서 그 문서를 제출하지 않는 부당한 상황에서 1심과 2심이 원고가 피고의 권한남용을 입증하지 못했다고 패소 판결한 것은 매우 불공정하다. 이번 사건에서 대법원은 원심의 판단을 취소하고 충분한 자료를 바탕으로 재판을 제대로 다시 하라고 명령해야 한다. 

통신자료 제공 제도 자체의 문제에 대해서는 여러번 지적한 바 있다. 이 제도에 근거해 그동안 수사기관들은 영장 없이 국민의 개인정보를 무차별적으로 제공받아 왔으며, 2013년~2018년 통계에 따르면 한해 평균 약 8백 9십만개 이상의 계정(아이디 또는 전화번호)에 대한 통신자료가 제공되었다. 이는 인구수 대비 17.3%에 달하는데, 대략 국민 5명 중에 1명은 자기도 모르게 수사의 대상이 된 것이다. 올해 7월 한국을 방문한 유엔 프라이버시권 특별보고관 조셉 카나타치(Joseph Cannataci)는 영장 없는 통신자료 제공 건수가 다른 대부분의 민주주의 국가보다 훨씬 많다고 하면서 이에 대한 사법적 감독체계가 필요하다고 지적한 바 있다.

헌법 제12조 제3항은, “체포·구속·압수 또는 수색을 할 때에는 적법한 절차에 따라 검사의 신청에 의하여 법관이 발부한 영장을 제시하여야 한다”고 하여 영장주의와 적법절차의 원칙을 천명하고 있다. 영장주의는 국민의 기본권을 강제로 침해할 때는 반드시 법관이 발부한 영장이 있어야 한다는 헌법상 원칙이며 특히 형사절차에서는 반드시 지켜져야 한다. 통신자료는 이용자의 개인정보이며, 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 기본권인 개인정보자기결정권에 대한 제한에 해당하므로 통신자료 요청 및 제공에는 영장주의가 적용되어야 함이 마땅하다. 그리고 적법절차의 원칙은 형사절차뿐만 아니라 모든 국가작용 전반에 적용되는 것으로, 이로부터 당사자에 대한 적절한 고지, 의견 및 자료제출 기회 부여와 같은 중요한 절차적 요청이 도출된다. 그런데 통신자료 제공 제도는 통신자료 요청 및 제공이 이용자의 의사와 상관없이 이루어지고 있고, 이용자가 전기통신사업자에 의한 통신자료 제공을 저지하기 위해 그 과정에 사전 개입할 수 있는 절차가 전혀 없으며, 사후적으로도 통지를 전혀 받지 못하고 있다. 이렇게 통신자료제공은 영장주의와 적법절차의 원칙에 위반하는 위헌적 제도이며 이런 제도를 수사 단계에서 광범위하게 활용하는 것은 명백한 권한 남용이다.

위헌적인 통신자료제공 제도에 대해 2012년 헌법재판소는 통신자료 취득행위는 임의수사에 해당하여 공권력의 행사가 아니고, 통신자료 제공 요청에 응할 것인지 여부는 전기통신사업자의 재량에 맡겨져 있어 기본권 침해의 직접성이 인정되지 않는다고 하면서 매우 유감스럽게도 합헌 결정을 내린 바 있다. 한편, 2016년 3월 대법원은 통신자료를 제공한 기업은 손해배상 책임이 없다고 판결하였다. 그럼에도 불구하고 통신자료제공에 대한 민사소송과 행정소송이 이어지고 있고, 시민사회는 헌법소원(2016헌마388)도 재차 청구한 상황이다. 현재 심리중인 2016헌마388 헌법소원에 대해 2016년 국가인권위원회는 “통신자료 제공 제도는 개인정보 수집 목적과 대상자 범위가 지나치게 넓고, 사전 또는 사후에 사법적 통제가 이루어지지 않으며, 정보주체가 자신의 개인정보 제공 사실을 인지할 수 있는 통지 절차가 마련되지 않아 개인정보자기결정권을 침해할 소지가 있다”는 의견을 제출했으며, 2017년에는 유엔 의사표현의 자유 특별보고관과 국제 정보인권 단체들이 헌법소원을 지지하는 의견을 헌법재판소에 제출했다. 그리고 통신자료 제공 제도를 개선하기 위해 사법적 통제 장치 마련 등을 골자로 하는 전기통신사업법 개정안과 통신비밀보호법 개정안이 19대 국회에 이어 20대 국회에도 다수 발의되어 있다.

이러한 상황에서 법원은 1심에서도 2심에서도 통신자료제공이 되었다는 것만으로는 수사기관의 위법행위를 인정할 수 없다거나 권한남용을 인정할 수 없다는 단 한 문장을 내세워 원고들의 청구를 기각했다. 피고행위의 위법성을 입증할 자료를 피고가 가지고 있고 제출을 거부하는 상황에서 말이다. 그리고 입증책임 법리에 의하면 원고가 통신자료제공이 된 사실을 입증해서 피고행위의 위법성이 추정되므로 피고가 권한남용이 없었음을 증명해야 할 것인데도 불구하고 법원은 이에 대해 아무런 판단을 하지 않았다. 오픈넷과 참여연대의 노력으로 2015년부터 이동통신사들은 통신자료 제공 여부를 확인해주고 있으니 판사들도 한 번 확인해보기를 권한다. 본인이 자신도 모르게 통신자료 제공을 당했다는 사실을 확인한다면 이렇게 나태하게 재판을 진행할 수는 없을 것이다. 민사소송법 제423조는 판결에 영향을 미친 헌법ㆍ법률ㆍ명령 또는 규칙의 위반을 상고 이유로 규정하고 있으며 1심과 2심 판결에는 명백한 헌법 위반이 존재한다. 기본권 수호의 최후의 보루인 대법원의 현명한 판단을 기대한다.

2019년 11월 22일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[캠페인(업데이트)] 이통사 ‘통신자료제공내역’ 신청 매뉴얼(업데이트) (2016.03.08.)
[캠페인] 참여연대와 오픈넷, 이용자들이 정보제공 여부를 문의하는 캠페인 전개 (2015.02.02.)
[논평] 유엔 의사·표현의 자유 특별보고관의 통신자료 제공 제도 반대의견서를 환영한다 (2017.06.13.)
[논평] 수사기관은 하루빨리 영장 없는 개인정보 취득의 사유를 밝히라! 서울중앙지방법원, 오픈넷의 문서제출명령 신청 인용 (2017.01.02.)
‘미국의 약 50배’ 통신자 신원확인이 위헌인 이유 (슬로우뉴스 2016.06.15.)
[논평] 오픈넷, 위법한 통신자료 취득에 대해 국정원 등 수사기관 상대로 국가배상 청구 (2016.06.01.)
[논평] 통신자료 제공과 관련된 대법원의 메시지를 정확하게 읽어야 (2016.03.11.)
[논평] 테러방지법 제9조 제3항의 ‘낯익은 위험’, 연 1천만 건 이번엔 통신의 내용까지? 사업자들은 “강제적 요구”와 “합법적 요구” 구분해야 (2016.03.07.)
한국 인터넷 감시, 검열의 현 주소 (허핑턴포스트코리아 2016.02.04.)
[논평] “카카오톡 감청법”을 반대해야 하는 이유 – 진정한 암호화 기술 구현을 가로막는 세계 유일의 SNS 감청설비의무화법안 (2015.12.29.)
[논평] RCS 사태에 대응하기 위해 19대 국회가 꼭 할 일: 통신자료제공제도 및 피감시자통지제도 개선 법안 처리 (2015.07.22.)
[논평] 방통위, 오픈넷의 이통 3사의 위법한 통신자료 제공내역 열람관행 시정 요구에 회신 (2015.05.08.)
국민 20% 감시, ‘투명성 보고’ 중요한 이유 (슬로우뉴스 2015.04.04.)
사이버 사찰 방지 vs. 감청 설비 의무화 (슬로우뉴스 2015.03.19.)
[논평] “온라인으로 열람 못하게 하면 위법” : 오픈넷, 방통위에 이통 3사의 위법한 개인정보 열람 및 제공에 대한 조사 촉구 서한 제출 (2015.03.06.)
[논평] 이통 3사, 개인정보 수사기관 제공 여부 고객들에게 공개 개시 – ‘직영점 직접 내방’ 요구와 ‘1년내 기록만 공개’는 소비자에 대한 ‘갑질’ (2015.02.11.)
[논평] 오픈넷, 정청래 의원과 함께 ‘사이버 사찰’ 방지법 발의 (2014.12.12.)
검찰 명예훼손 전담팀의 카톡 감시에 대한 개선과제 5가지 (오픈블로그 2014.10.04.)
“익명성도 프라이버시이다” – 캐나다 대법원, 이용자신원정보 무영장 취득 위헌판정 (오픈블로그 14.06.26.)
NSA 사태의 교훈 ‘감시되지 않는 감시’ (경향신문 2013.12.05.)
생각대로 T에서’만’ 되는 것과 T에서’도’ 안 되는 것 (한겨레 2013.12.02.)
[논평] 260여 개 정보인권단체들, 국제인권법상의 통신감시 13개 원칙 발표 (2013.09.19.)