빅데이터 시대의 비식별화 문제와

소비자 개인정보보호를 위한 기자간담회 개최

나머지 보기

지난달 30일 행자부는 빅데이터 활용 가이드라인(개인정보 비식별 조치 가이드라인)을 발표했습니다.

핵심은 "개인정보라도 비식별 처리하면 당사자 동의 없이 활용(거래 포함) 가능케 하겠다"는 내용입니다.

하지만 '비식별화'라는 보호장치가 얼마나 허술한 것인지, 비식별화를 명분으로 개인정보를 정보주체 동의 없이 활용케 하겠다는 것이 얼마나 위험한 것인지 살핀다면... 정부 정책에 결코 동의할 수 없을 것입니다.

이에 진보네트워크센터는 정부 가이드라인의 문제점을 짚어보는 카드뉴스를 만들었습니다.
 

나머지 보기

“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

2016년 7월 19일

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

인권보다 공안 더 중요시한 대테러인권보호관 위촉

인권침해 현실화되기 전에 국회 법안 폐지에 나서야  

황교안 국무총리가 어제(7/21) 초대 대테러인권보호관에 공안검사 출신의 이효원 서울대 법대 교수를 위촉했다. 이 교수는 사법연수원을 23기로 수료한 후 1994년부터 2007년까지 검사로 재직하면서 공안업무를 담당한 것으로 알려졌다. 공안검사 출신을 인권보호관으로 위촉한 것은 인권보다는 공안을 더 중시하겠다는 현 정부의 인식을 그대로 반영한 것이며, 인권보호관이 구색 맞추기에 진하지 않다는 것을 증명한 것이다. 

나머지 보기

메신저, SNS에서의 비공개 대화에 모욕죄, 명예훼손죄 인정은

통신비밀의 자유 침해

최근 카카오톡이나 페이스북 비공개 그룹에서 이루어진 대화에 대해 모욕, 명예훼손 등으로 민·형사상 책임을 부과하려는 법적 시도들이 이루어지고 있다. 사단법인 오픈넷은 이와 같은 법적 시도들은 모욕죄와 명예훼손죄의 적용범위를 인터넷이라는 매체에 대해서만 차별적으로 광범위하게 적용해 비밀스럽게 상호 소통할 자유를 침해하는 것이라고 보며 유관기관들의 자제를 촉구한다.

인터넷은 자신의 주장을 세계의 모든 사람이 볼 수 있도록 게시할 수 있는 공간이기도 하지만, 원하는 상대방을 한정하여 그들만이 볼 수 있도록 게시할 수 있는 공간이기도 하다. 이렇게 공개된 대화와 은밀한 대화를 모두 자유롭게 할 수 있도록 하는 것이야말로 인터넷이 인류에게 준 선물 중의 하나이다.

카카오톡이나 페이스북의 비공개 그룹을 이용하는 것은 은밀한 대화를 하겠다는 의지의 표현이다. 그런데 그 말이 화자의 의사에 반하여 유출된 경우를 불특정다수가 듣도록 공개적으로 말을 한 경우와 동일하게 취급하는 것은 화자의 사생활의 비밀을 침해하는 것이다. 헌법재판소는 이미 2012년 인터넷실명제 위헌결정(2010헌마47)에서, 온라인 글을 쓰려는 이용자가 자신의 개인정보를 정보통신서비스제공자에 제출하도록 강제한 정보통신망법에 대해서 사생활의 비밀(헌재는 “개인정보자기결정권”이라는 용어를 썼다)을 침해할 위험이 있다는 판시와 함께 위헌판정을 내린 바 있다. 헌재 결정에서처럼 “내가 누구인지”를 밝히는 정보도 나의 사생활의 비밀이지만 “내가 무슨 말을 했는지”도 나의 사생활의 비밀이다. 헌법은 사적 영역에서 ”내가 무슨 말을 했는지”를 통신의 비밀로 특별히 보호하고 있다(제18조). 따라서 비공개 대화의 상대방이 내가 무슨 말을 했는지를 카카오톡방이나 비공개 그룹 참여자 외의 사람들에게 밝혔다거나 또는 그럴 가능성이 있다고 하여 “나”를 불특정 다수 앞에서 공개적으로 말한 사람과 동등하게 다루는 것은 “나”의 사생활의 비밀을 훼손하는 것이다.

물론 비밀스러운 대화라 할지라도 그 대화가 범죄를 구성한다거나 범죄의 증거가 된다면, 수사기관은 그 대화를 취득할 수 있고 필요에 따라서 공개할 수 있다. 또한 일반인이라 할지라도 불법행위나 비리를 고발하기 위해 비밀스러운 대화를 외부에 공개하는 것은 잘못된 것이 아니며, 오히려 이러한 내부 고발, 공익 제보는 장려되어야 한다. 이상호 기자 등이 삼성그룹 로비 대상으로 언급된 정치인 및 검찰 고위관계자 실명을 공개한 안기부 X파일 사건에서, ”범죄가 저질러졌다는 사실 자체를 고발하기 위한 것”이거나 ”공익에 대한 중대한 침해가 발생할 가능성이 현저한 경우 등”과 같이 공적 관심의 대상이 되는 경우 통신비밀보호법에 대한 예외를 인정할 수도 있다고 대법원이 판시한 것(2006도8839)과 마찬가지이다. (대법원은 해당 사건에는 예외를 인정하지는 않았다.) 최근 문제가 되었던 고려대 여성혐오 단톡방의 경우도 우리나라에 차별금지법이나 혐오표현규제가 없기 때문에 단톡방 내의 대화가 범죄가 될 가능성은 없지만, 이를 제보한 사람은 사회적으로 중요한 규범의 위반일 것이라는 선한 믿음을 가지고 제보를 하였으므로 비슷한 이유로 정당한 행위가 될 수도 있다.

그러나, 사적인 통신을 공적인 통신인 것처럼 처벌하는 것은 명백히 사생활의 비밀 침해이다. 카톡방이나 페이스북에서 비공개로 말을 한 경우 대화참여자들 간에 암묵적인 비밀유지약속만 있다면 그 언사 자체만으로는 공연성이 인정될 수 없으며, 모욕이나 명예훼손이 성립될 수 없다. 명예훼손의 보호법익은 언사의 대상이 된 사람에 대해 불특정 다수가 가지고 있는 ”평판”인데, 그 불특정 다수에게 전달되지 않을 의도로 한 말이 그 평판을 훼손할 수는 없다. 또한 모욕죄의 보호법익을 명예감정으로 본다면 언사의 대상에게 전달되지 않을 의도로 한 말이 그 명예감을 훼손할 수 없다.

우리나라 대법원은 소위 전파가능성 이론을 이용해 공연성을 널리 인정해왔으나, 그렇다고 해서 화자가 발설한 말을 듣는 이가 함부로 전파하지 않으리라고 기대할 수 있는 관계의 대화에까지 전파가능성 이론을 적용하지는 않았다. 상호 은밀성이 약속된 비공개 대화에 쉽게 공연성을 인정하는 것은 인터넷을 통해 은밀한 대화를 하려는 사람들의 통신 비밀의 자유를 제약하는 것이다. 지금은 메신저나 SNS 문제이지만, 앞으로 이메일에도 모욕죄, 명예훼손죄를 적용하지 않을까 우려하지 않을 수 없다. 오픈넷은 인터넷을 이용한 비공개 대화에 공연성을 인정하고자 하는 시도에 반대한다.

2016년 8월 11일

사단법인 오픈넷

 
문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr