<공동논평>
[사이버사찰긴급행동 논평]
1. 카카오톡 감청이 재개된 가운데 올 상반기 감청 통계가 발표되었다. 미래창조과학부는 오늘(10/28) 2015년 상반기 통신비밀자료 제공 현황을 공개하였다. 국가정보원의 감청이 증가한 사실이 눈에 띄며 전반적으로 정보·수사기관의 편의에 따른 저인망식 정보제공이 계속되고 있는 것으로 드러났다.
[Statement] Google must implement the duty to protect personal data under South Korean law
- Four human rights and civil groups partly win in a law suit against Google demanding disclosure of information
국회와 정부는 실효성 있는 주민등록번호 변경 제도를 도입하라.
◎ 정부의 실효성 없는 주민등록법 개정안에 반대한다.
◎ 생색내기 위한 주민번호 변경제도는 필요하지 않다.
◎ ‘1) 주민번호 변경 대상자 확대, 2) 변경시 개인정보 없는 임의번호 부여, 3) 개인정보보호위원회 산하의 주민번호변경위원회 설립, 4) 주민번호의 목적 외 사용 제한 명시’가 필요하다.
1. 유출된 주민번호는 생명, 신체, 재산에 직접적인 위협이 된다. 2차, 3차 피해 또한 당연히 예상된다. 이 점에 대해서 헌법재판소와 법원은 아래 같이 설시하였다.
|
현대사회는 개인의 각종 정보가 타인의 수중에서 무한대로 집적, 이용 또는 공개될 수 있으므로 연결자 기능을 하는 주민등록번호가 불법 유출 또는 오·남용되는 경우 개인의 사생활뿐만 아니라 생명·신체·재산까지 침해될 소지가 크고, 실제 유출된 주민등록번호가 범죄에 악용되는 등 해악이 현실화되고 있다. (헌법재판소 2015. 12. 23. 선고 2013헌바68등 결정) |
|
주민등록번호는 고유식별번호로서 영구적이고 변경이 불가능한데, 원고들의 주민등록번호가 노출됨에 따라 신분이나 명의가 도용될 우려가 있고, 이를 이용하여 원고들의 다른 개인정보가 수집될 가능성이 있으며, 더 나아가 유출된 개인정보가 악용될 경우 재산상 피해까지 입을 우려가 있는 점... (서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결) |
2. 이에 정부는 주민번호 변경을 저지하거나 제한하기 위하여 언론을 통해서 주민번호 유출 또는 오남용 등의 피해를 방지하기 위해 노력하고 있다고 홍보하였다. 그러나 헌법재판소는 이미 유출된 주민번호 해결책은 주민번호 변경하는 밖에 없다는 입장을 분명히 하였다.
|
비록 국가가 개인정보보호법 등의 입법을 통하여 주민등록번호 처리 등을 제한하고, 유출이나 오·남용을 예방하는 조치를 취하였다고 해도, 여전히 주민등록번호를 처리하거나 수집·이용할 수 있는 경우가 적지 않고, 이미 유출되어 발생되는 피해에 대해서는 뚜렷한 해결책을 제시하지 못하므로, 이러한 조치는 국민의 개인정보자기결정권에 대한 충분한 보호가 된다고 보기 어렵다. (헌법재판소 2015. 12. 23. 선고 2014헌마449,2013헌바68(병합) 결정) |
3. 논리는 간단하다. 유출된 주민번호는 국민 개개인에게 피해를 입힐 수 있다. 유출된 주민번호 문제를 해결하기 위해서는 변경 이외의 다른 방법이 없다. 정부가 행정 편의를 앞세워 국민의 피해를 묵인해서는 안 된다. 특별한 경우가 아닌 한, 주민번호 변경 대상자를 최대한 확대해야 한다. 인권시민사회의 강력한 지지를 받으며 진선미 의원이 2015. 5 27. 대표발의한 주민등록법 개정안은 아래 같이 명시하였다.
|
제7조의5(주민등록번호변경위원회) ② 변경위원회는 제7조의4제1항에 따른 주민등록번호의 변경 청구에 대하여 변경여부를 심의·의결한다. 이 경우 그 청구의 목적이 범죄를 기도 또는 은폐하거나 법령에 따른 각종 제한을 회피하거나 부정한 금전적 이익을 얻으려는 의도 등 불법을 목적으로 하거나 사회상규에 반한다고 판단되는 경우가 아닌 한 주민등록번호의 변경을 의결하여야 한다. |
4. 여기서 덧붙여 주민번호 변경의 실효성을 보장하기 위해서 새롭게 부여하는 주민번호는 개인정보가 포함되지 않은 임의의 숫자로 구성하여야 한다. 익히 알려졌다 시피 개인정보를 바탕으로 주민번호를 구성한다면, 유출된 혹은 공개된 개인정보를 이용하여 주민번호를 재구성할 수 있다.
|
개인정보를 기반으로 이루어진 주민등록번호는 그리 어렵지 않게 재구성할 수 있다. 페이스북에 생일과 출신 학교를 공개한 11만 5,615명을 대상으로 실험을 한 결과, 절반에 가까운5만 2,000여명의 주민등록번호를 정확히 알아냈다. 생년월일과 성별, 출신지역 등으로 구성된 주민등록번호는 그 구성 원리가 간단하여 단순한 알고리즘으로도 유추할 수 있기 때문이다. 즉, 개인정보를 기반으로 구성된 주민등록번호는 사실상 누구든지 도용할 수 있는 상황이다. (‘페이스북 내 주소 치면 주민번호 좍’, ‘김연아·전지현도…공인들 주민번호 쉽게 털린다’, 동아일보, 2014. 3. 7. 2014. 3. 8.) |
5. 주민번호를 개인정보로 구성할 아무런 이유도 없다. 주민번호는 개인 식별을 목적으로 만든 일개 개인식별번호에 지나지 않는다. 개인식별을 위해서는 그 번호에 개인정보를 담을 필요가 없다. 카드번호와 통장번호와 같이 임의숫자 그 자체를 통해 개인을 식별하면 된다.
6. 개인의 동의 없이 개인정보의 공개를 강요하거나 합리적인 법적 근거 없이 개인정보의 공개를 강제하는 것은 국민의 개인정보자기결정권을 침해하는 행위이다. 생년월일, 성별, 출생지는 필요한 경우에만 별도의 방법으로 공개하도록 하면 된다. 한국 사회에는 나이, 성별, 출생지에 따른 차별이 만연해 있다. 일개 개인식별번호에 지나지 않는 주민번호를 통해 기본적인 개인정보를 항시 노출하도록 하는 것은 각종 차별을 강화, 확산시키는 결과를 초래할 뿐이다.
|
개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. (헌법재판소 2005. 5. 26. 선고 99헌마513등 결정) |
7. 금번 헌법재판소 결정은 주민번호 변경만이 쟁점이었기 때문에, 헌법재판소가 주민번호 구성 방법에 대해서 판단하지 않은 것일 뿐이다. 주민번호 제도의 문제점을 지적하며 개인정보자기결정권 보장하려는 헌법재판소 결정의 아래 취지에 부합하려면 임의번호로 구성된 주민번호를 부여해야 한다.
|
주민등록번호는 단순한 개인식별번호에서 더 나아가 표준식별번호로 기능함으로써, 결과적으로 개인정보를 통합하는 연결자(key data)로 사용되고 있는바, 개인에 대한 통합관리의 위험성을 높이고, 종국적으로 개인을 모든 영역에서 국가의 관리대상으로 전락시킬 위험성이 있으므로 주민등록번호의 관리나 이용에 대한 제한의 필요성이 크다. 현대사회는 개인의 각종 정보가 타인의 수중에서 무한대로 집적, 이용 또는 공개될 수 있으므로... (헌법재판소2015. 12. 23. 선고 2013헌바68등 결정) |
8. 국회와 정부가 헌법재판소를 뒤쫓아가는 상황이 되어서는 안 된다. 헌법재판소가 지적하지 않은 주민번호제도의 다른 문제점에 대해서는 스스로 판단하기를 요구한다. 그간 국가가 주민번호에 포함된 생년월일, 성별, 출생지, 출생신고를 바탕으로 국민을 관리하였다면, 이는 물건 생산년도, 종류, 생산지, 생산순서 바코드를 찍어서 물건을 관리한 것과 다를 바가 없다. 국가 행정시스템 자체에 의문을 던질 수밖에 없다. 국민이 물건인가.
9. 덧붙여, 정부는 주민번호 변경이 허용될 경우 범죄세탁, 탈세, 채무면탈 등에 악용될 가능성이 있다고 주장하고 있다. 이는 정부의 무능함을 스스로 실토하는 것이며, 이를 통해 국민을 협박하는 것이다. 국민 개개인은 주민번호 그 자체만으로 타인을 식별할 수 없다. 주민번호 정합성 여부는 정부의 주민번호 DB와 대조할 때만 확인할 수 있다. 주민번호를 확인하기 위하여 주민등록증, 주민등록등초본, 가족관계증명서, 인감증명서 등을 요구하는 것이 정부의 주민번호 DB와 대조하는 과정이다. 즉 주민번호를 변경하더라도 정부에서 변경 기록만 제대로 관리한다면, 범죄세탁, 탈세, 채무면탈은 원천적으로 불가능하다. 이는 마치 채무면탈의 우려가 있으니 이사를 가지 못하게 하는 것과 동일하다. 전근대국가 혹은 독재국가에서는 범죄세탁, 탈세, 채무면탈을 예방하기 위하여 거주이전의 자유조차 제한하였다. 이 정부는 어떤 국가를 바라는 것인지 되묻지 않을 수 없다.
10. 정부가 국회에 제출한 주민등록법 개정안으로는 주민번호 변경이 사실상 불가능하다. 혹여 변경 대상자를 일부 확대하더라도 유출된 개인정보를 바탕으로 주민번호를 구성한다면 주민번호 재구성이 가능하기 때문에 주민번호의 변경 제도를 도입한 실효성이 없다. 주민번호 변경, 임의번호 부여, 목적 외 사용 제한 등은 특별한 요구가 아니다. 다른 국가에서는 일반적이다. 이번 기회에 주민번호제도 자체에 대한 근본적인 검토가 있어야 한다. 허울뿐인 주민번호 변경제도는 필요 없다. 끝.
2016년 1월 5일
진보네트워크센터
5월 28일 목요일 사단법인 오픈넷은 미 하버드대학교 버크맨 인터넷과사회 연구센터(Berkman Center for Internet and Society)와 함께 “정보매개자 책임의 국제적 흐름 – 이용자 권리 보호와 ICT 산업 발전을 위한 플랫폼사업자의 책임원칙” 국제 세미나를 국회의원회관 제1소회의실에서 개최한다. 동 세미나는 박주선 의원실, 염동열 의원실(이상 국회 교육문화체육관광위원회), 유승희 의원실(국회 미래창조과학방송통신위원회), 국회입법조사처, 그리고 (사)한국언론법학회, 한국인터넷법학회, 고려대학교 법학연구원, 서울대학교 기술과법센터가 함께 주최하며, 방송통신위원회와 한국저작권위원회가 후원한다.
정보매개자(Intermediary)란 인터넷상에서 타인의 정보를 매개하는 자를 통칭하는데, ISP뿐만 아니라 네이버와 다음 같은 포털, 검색엔진, SNS 등이 모두 포함된다. 오늘날 인터넷상 정보의 유통은 다양한 정보매개자를 통해 이루어지기 때문에 정보매개자의 책임과 관련된 정책은 인터넷 이용자들의 표현의 자유와 프라이버시에 지대한 영향을 미친다. 그럼에도 불구하고 국내에서는 아직까지 정보매개자 책임에 대한 논의가 미미한 실정이어서, 이번 국제 세미나를 통해 관련 논의를 활성화하고 국제적 흐름에 부합하는 정보매개자 책임 정책의 방향성을 제시할 수 있을 것으로 기대된다.
동 세미나는 10시 개회식을 시작으로, 박경신 오픈넷 이사가 세미나의 개최 취지를 소개하면서 한국의 대표적인 정보매개자 책임 제도인 정보통신망법상 임시조치 제도와 저작권법상 전송중단 제도에 대해 평가한다. 이어 제1세션 <정보매개자 책임에 대한 이해>에서는 박경신 이사를 좌장으로 하여, 하버드대 교수이자 버크맨센터 소장인 어스 개서(Urs Gasser) 교수가 세계 각국의 인터넷과 사회 연구센터들의 합의체인 NoC(Global Network of Internet & Society Centers)에서 진행한 “국가별 온라인 매개자 가버넌스 연구(Governance of Online Intermediaries)”의 연구 결과를 소개하고 정보매개자 가버넌스 정책 설정에 고려되어야 할 사항들을 제시한다. 일본 엔데버 법률사무소의 나오코 미즈코시 변호사는 “일본의 정보매개자 책임 원칙”에 대해 사례발표를 하는데, 특히 2001년 제정된 「특정전기통신역무제공자의 손해배상책임 제한 및 발신자정보의 개시에 관한 법률」과 관련 가이드라인의 내용을 소개한다.
제2세션 <정보매개자 책임과 ICT 생태계>에서는 고려대 김제완 교수가 좌장을 맡고, 미 UC데이비스 로스쿨의 아누팜 챈더(Anupam Chander) 교수가 “e-실크로드와 정보매개자 책임”이라는 주제로 미국 실리콘 밸리의 성공비결이 표현의 자유를 포용한 인터넷기업 책임 제한 법제에 있음을 논증하고 한국의 제도와 비교평가한다. 유럽ISP협회(EuroISPA) 올리버 쥬메(Oliver Sueme) 회장은 유럽 전자상거래지침상 정보매개자 책임 규정의 해석과 함께 불법 콘텐츠 삭제 요구시 고려되어야 할 사항과 필터링 의무 금지 원칙 및 관련 판결에 대해 설명한다.
마지막으로 제3세션 <정보매개자 책임과 저작권 제도>에서는 연세대 박덕영 교수를 좌장으로 하여, 미 산타클라라대 로스쿨의 에릭 골드먼(Eric Goldman) 교수가 OSP의 면책을 위해 제정된 디지털밀레니엄저작권법(DMCA) 상의 통지 및 삭제(Notice-and-Takedown) 조항이 법원의 판결에 의해 어떻게 피난처(safe harbor)로서의 기능을 잃고 있는지 비판적으로 분석하고, 호주 모나쉬대 레베카 깁린(Rebecca Giblin) 교수는 18개월에 걸쳐 진행된 “삼진아웃제에 대한 평가”라는 연구 프로젝트에서 나타난 삼진아웃제의 실효성을 뒷받침하는 증거들의 결함을 설명하고 한국의 삼진아웃제도에 대한 시사점을 제시한다. 그리고 종합토론 시간에는 영국 옥세라 컨설팅의 파트너 데이빗 제번스(David Jevons)가 “피난처가 인터넷 매개자인 스타트업에 미치는 경제적 영향”이라는 주제로 옥세라 팀원들과 함께 제작해서 보내온 특별 동영상을 상영할 예정이다.
세미나 참가 신청은 오픈넷 홈페이지(opennet.or.kr/
* 세미나 온라인 생중계 주소: http://www.ustream.tv/channel/
<첨부>
국제 세미나 포스터
[초청장] “정보매개자 책임의 국제적 흐름” 국제 세미나
문의: 오픈넷 사무국 02-581-1643, [email protected]
** 본 세미나에 참석을 원하시는 분께서는 사전등록을 해주시기 바랍니다. (초대장 하단 “사전등록하기”)
사이버사찰긴급행동 성명
수 신 발표일자:
2015/10/06
화, 2015/10/06- 10:06 156 0
Citizen Lab Summer Institute 2015 참가 후기
글 | 김가연(오픈넷 변호사)
* 일시: 2015. 6. 24(수) – 26(금), 3일간 * 장소: 캐나다 토론토대학교 뭉크스쿨(Munk School of Global Affairs) * 참석자: 박경신(고려대학교 로스쿨 교수, 오픈넷 이사), 김가연(오픈넷 변호사), 손지원(한국인터넷투명성보고, 연구원)
Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다. 오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다. CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조). 첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.
<CLSI 첫 날 1세션 패널들의 모습>
먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다. 둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다. 그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다. 연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.
<CLSI 마지막 날 Wrap-up Session>
그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다. 오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.
월, 2015/10/05- 10:42 272 0
한국의 청소년들을 위험에 빠뜨리는 스마트보안관 서비스는 즉시 중단되어야- 캐나다 시티즌랩, MOIBA의 스마트보안관 앱에 대한 보안 감사 보고서 발표
한국시간으로 오늘 새벽 4시, 캐나다 토론토 대학교의 시티즌랩은 새로운 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표했다. 이 보고서는 방송통신위원회(이하“방통위”)의 지원으로 개발된 스마트보안관에 대해 행해진 두 건의 보안 감사 결과와 법·정책적 검토 결과를 담고 있으며 해당 앱 서비스를 즉시 중단할 것을 권고하였다. 이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다. 지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은 해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853). 이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다. 하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다. 물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다. 지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다. 뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
월, 2015/09/21- 13:10 553 0
요약문:
검찰은 DNA 연좌제 ‘가족 검색’을 잠시라도 검토한 것에 대하여 사과하고 앞으로도 추진 말아야 할 것이다. 더불어 노동자, 철거민, 장애인과 같이 인권을 지키기 위해 싸우고 있는 이들을 대상으로 한 DNA채취요구를 중단할 것을 다시한번 촉구한다.
발표일자:
2015/09/10
목, 2015/09/10- 16:01 245 0
요약문:
우리 13개 시민·소비자단체들은 홈플러스와 테스코의 추악하고 이기적인 행태를 규탄하며, 다시 한 번 고객 개인정보 불법 유상판매에 대한 사죄와 보상 및 배상을 위한 대책을 마련 할 것을 강력하게 촉구한다. 나아가 테스코와 홈플러스는 매각을 추진하는 과정에서 협력업체와의 계약관계, 노동자의 심각한 고용불안, 소비자 권익 침해 등 다양한 문제에 대해 사회적 논란을 회피하지 말고 기업의 사회적 책임을 다해야 할 것이다.
고객 개인정보 불법 수집·판매에 대한 반성과 책임 없이,
월, 2015/08/31- 09:45 147 0
요약문:
우리는 국민적 염원을 담아 국회가 진상규명과 제도개선에 매진하여야 한다고 생각합니다. 이에 기자회견을 갖고, 국회가 국정원의 해킹프로그램 등을 통한 불법사찰 의혹 사건 진상규명을 위해 국정조사를 실시하고 특별검사를 임명하는 한편 국정원에 대한 감독통제제도를 마련할 것을 청원합니다.
국가정보원 해킹사찰의혹사건 시민사회 공동청원 발표일자:
2015/08/19
수, 2015/08/19- 17:59 260 0
|
시민들의 의견
댓글 달기