어제 (3월 19일) 최종구 금융위원장은 <금융분야 데이터활용 및 정보보호 종합방안>(이하 종합방안)을 발표하며 금융분야를 빅데이터의 테스트베드로서 우선 추진하겠다고 발표했다. 종합방안은 개인정보 자기결정권 강화를 양념처럼 끼워넣고 있지만, 전반적으로 금융 개인정보의 공유와 활용을 확대하여 산업적으로 활용하겠다는 것에 초점을 두고 있다. 금융 개인정보는 개인의 경제적 삶에 큰 영향을 미칠 수 있는 민감한 개인정보로서 그 무엇보다도 더욱 조심스럽게 접근해야 한다. 그럼에도 금융위가 개인정보의 상업화를 앞장서 추진하겠다는 것은 금융분야 감독기구로서 할 일인지 되묻지 않을 수 없다. 우리는 이번 종합방안이 개인정보의 무분별한 공유와 활용을 촉진시킬 것을 우려하며 다음과 같이 문제점을 지적하고자 한다.
우선, 현재 대통령 산하 4 산업혁명위원회 주관으로 개최된 해커톤을 통해 각 이해관계자들이 개인정보의 보호와 활용 방향에 대해 사회적 논의를 진행하고 있는 상황에서 금융위원회가 독단적으로 이러한 종합방안을 발표한 것은 유감이다.
가명정보 및 익명정보의 활용 조건과 범위에 대한 구체적인 논의도 진행되지 않은 상황에서 마치 일정하게 비식별 조치를 하면 자유롭게 개인정보를 활용할 수 있는 것처럼 얘기하는 것은 해커톤에서의 사회적 논의를 무시하고 추진하겠다는 것이나 마찬가지다. 종합방안은 “추가 논의가 필요한 사항에 대해서는 ‘4차산업혁명위원회’ 주관 해커톤 회의 등을 거쳐 확정”하겠다고 하고 있으나, 여전히 기존 비식별 조치 가이드라인을 염두에 두고 있다. 혼란을 야기하고 있는 비식별 조치라는 개념을 여전히 사용하고 있고 “금융회사 등의 비식별 조치에 대하여 전문기관(금융보안원・신용정보원)을 통해 적정성 평가를 받도록 하는 등 의무”를 부과하겠다고 하는 등 그동안 비판을 받아왔던 비식별조치 가이드라인의 방식으로의 개인정보 활용을 고집하고 있다.
또한, “비식별처리된 익명정보 등의 중개를 허용(개인정보는 제외)”한다고 하는데, 여기서 ‘익명정보’가 어떤 의미인지, 기존 비식별조치를 적용한 사실상 가명정보의 수준은 아닌지 의심스럽다.
둘째, 결국 이 종합방안이 이행되기 위해서는 신용정보보호법이 개정되어야 하며, 금융위원회도 올해 상반기에 법 개정을 추진하겠다고 한다. 이는 현재 개인정보보호법, 정보통신망법, 신용정보보호법 등으로 분산되어 수범자의 혼란과 중복규제를 야기하고 있어 관련 법제를 개인정보보호법으로 일원화해야 한다는 사회적인 요구에 역행하는 것이다. 시민사회는 행정안전부, 방송통신위원회, 금융위원회로 분산된 기능도 개인정보보호위원회로 통합하여, 개인정보보호위원회가 명실상부하게 개인정보 감독기구로 역할할 수 있도록 그 독립성과 권한을 강화해야 한다고 주장해왔다. 이는 문재인 대통령의 공약이자 국정과제이기도 하다. 금융위원회의 이번 발표는 금융 분야의 감독기관으로서 자신의 권한을 놓지 않으려하는 조직이기주의의 발로이다.
셋째, 이미 금융분야의 개인정보 보호는 개인정보 보호원칙에서 벗어나 가장 완화된 상황이다. 그럼에도 종합방안은 지주회사 그룹 내 통신, 전기ㆍ가스 등 관련 정보공유, 신용정보원을 통한 세금ㆍ사회보험료 납부실적 등 공공정보의 공유 확대, 신용정보원이 모든 차주의 개인사업자 여부를 일괄 확인하여 CB사ㆍ금융권에 공유 추진, CB사의 개인정보 이용 범위 확대 등을 추진하겠다고 한다. “빅데이터를 활용한 개인신용평가 체계 고도화”라는 명목으로 금융 개인정보의 기관간 공유 및 활용을 무분별하게 확대하고 있다.
넷째, 종합방안은 비금융 개인정보 활용을 통해 마치 저소득층 및 금융소외계층에 이익이 되는 것처럼 얘기하고 있지만, 오히려 취약계층에 대한 사회적 차별이 강화될 수도 있다. 결국 빅데이터의 활용은 금융 개인정보 분석을 통해 금융 업체의 수익을 극대화하려는 목적 하에 움직일 것이며, 열악한 환경에 있을 수밖에 없는 취약계층은 오히려 부정적인 평가를 받을 가능성이 커지기 때문이다.
다섯째, 종합방안은 데이터 중개ㆍ유통 기능을 강화하겠다고 하는데, 이를 통해 개인정보의 상업적 거래가 증가하지 않을까 우려된다. 이미 홈플러스의 개인정보의 상업적 판매, 약학정보원 등을 통한 개인 의료정보의 상업적 판매 등을 통해 개인정보의 동의없는 상업적 활용에 대한 국민의 불안감이 높아진 상황이다. 마치 미국 등의 사례를 선진적인 사례인 것처럼 얘기하고 있으나, 미국에서도 데이터 브로커에 대한 비판이 높은 상황이다.
오늘 청와대는 정부 헌법 개정안의 일부 내용을 발표했는데, 개인정보 자기결정권을 헌법에 명시적으로 포함하였다. 그러나 이렇게 정부부처에서 개인정보 자기결정권을 침해할 정책을 무분별하게 추진하는 것은 자기 모순이 아닐 수 없다. 이번 종합방안은 금융위원회가 개인정보 감독기구로서 자격 미달임을 보여준다. 금융위원회는 충분한 사회적 논의도 없이 발표한 종합방안을 철회해야하며, 개인정보 감독 권한을 개인정보보호위원회로 이관해야 한다.
2018년 3월 20일
경제정의실천시민연합, 소비자시민모임, 서울YMCA 시청자시민운동본부, 진보네트워크센터, 참여연대, 함께하는시민행동
ⓒ연대회의[/caption]
정의당과 시민사회단체들이 규제개악법의 8월 임시회 처리 중단을 촉구하고 나섰다. 특히 규제프리존특별법은 법안의 심각한 문제점으로 인해 19대 국회 및 20대 상반기 국회에서 정의당을 비롯해 더불어민주당과 노동·시민사회 등의 반대로 무산되었던 법안이다.
[caption id="attachment_193894" align="aligncenter" width="640"]
ⓒ연대회의[/caption]
23일 오전, 정의당(윤소하의원‧심상정의원‧추혜선의원, 정책위원회), 참여연대, 민변, 환경운동연합, 무상의료운동본부, 진보네트워크센터, 민주노총, 경실련, 보건의료단체연합 등은 국회정론관에서 공동기자회견을 열고 국민의 생명·안전·건강과 환경 위협, 정보인권 침해가 규제혁신은 아니라면서 “교섭단체 3당은 규제개악법 처리를 즉각 중단하라”고 촉구했다.
2018년 8월 23일
정의당(윤소하의원, 심상정의원, 추혜선의원, 정책위원회), 무상의료운동본부, 진보네트워크센터, 참여연대, 민변, 환경운동연합, 민주노총, 경실련, 보건의료단체연합
“국회는 규제완화 말고 민생개혁입법에 나서라”
참여연대, 2018 정기국회 개혁 입법⋅정책 과제 제안
29개과제 중 국가기관권한남용 방지와 표현의 자유를 위한 입법·정책과제
과제 1. 수사기관의 통신자료 무단 수집 방지 「전기통신사업법」 개정
과제 2. 개인정보감독체계 개선 위한 「개인정보보호법」 개정
과제 3. 다수 피해자 구제, 동일 불법행위 방지 위한 「집단소송법」 도입
과제 4. 다양한 불법행위 포괄하도록 「징벌적손해배상제」 확대
① 개인정보보호법, 정보통신망법, 신용정보법으로 분산된 개인정보 관련규정 통합
② 개인정보보호위원회로 감독기능 통합하고 위상과 독립성 강화
2018 정기국회 개혁 입법⋅정책 과제 >> 전체 보기
자료집 [원문보기/다운로드]
정보공개센터는 2019년 사업으로 청소년을 대상으로 하는 정보공개 교육을 구상하고 있습니다. 정보공개법에서는 "모든 국민은 정보의 공개를 청구할 권리가 있다"고 규정하고 있고, 이에 따라 청소년들 역시 교육청이나 학교 등에 정보공개를 청구할 권리가 있음에도 불구하고 제도가 충분히 활용되고 있지 못하다는 판단 때문인데요, 사업 계획을 짜기 위해 자료를 찾아보던 중, 환경부 홈페이지에서 이상한 문장을 발견했습니다.
정보공개 청구에 대해 안내하는 페이지에 모든 국민이 정보공개를 청구할 수 있는 권리가 있지만 "다만 중학생 이하인 경우는 친권자의 대리에 의하여, 고등학생 이상의 경우에는 공개제도의 취지, 내용 등에 대하여 충분히 이해가 가능하고 비용부담이 가능한 범위 내에서 단독청구 가능합니다"라는 안내 문구가 적혀 있었습니다. 환경부의 설명에 따르면, 중학생들은 본인 혼자서는 정보공개 청구가 불가능하며, 고등학생인 경우에도 '취지, 내용에 대한 이해'가 전제된 경우에만 정보공개 청구가 가능하다는 것이죠.
그러나 정보공개법에서는 '모든 국민'이 정보공개 청구권자로 명시하고 있을 뿐입니다. 그뿐 아니라 아래 사진과 같이 행정안전부의 [정보공개 운영 매뉴얼]에서도 "미성년자, 재외국민, 수형자 등을 포함하는 모든 국민"이 정보공개 청구권자임을 명시하고 있습니다. 중학생의 경우 대리인을 통해서만 가능하다거나, 고등학생의 경우 '취지와 내용 등에 대해 이해가 가능해야 함'을 전제로 한다는 이야기는 없습니다.
이상한 것은, 환경부와 유사하게 정보공개 청구권의 나이 제한을 명시한 공공기관들이 적지 않게 존재한다는 점입니다. 서울특별시교육청 유아교육진흥원의 경우, 정보공개법에는 별도의 규정이 없으나 "중학생 이하의 경우 비용부담능력이 없기 때문에 단독으로 청구하는 것은 인정하지 않으며, 친권자등 법정대리인에 의한 청구가 가능"하다고 설명하고 있습니다. 역으로, 고등학생 이상은 "공개제도의 취지, 내용 등에 대해 충분한 이해가 가능하고 비용부담 능력이 있다고 판단"되기 때문에 단독청구가 가능하다고 이야기하고 있습니다.
정보공개센터는 2019년 사업으로 청소년을 대상으로 하는 정보공개 교육을 구상하고 있습니다. 정보공개법에서는 "모든 국민은 정보의 공개를 청구할 권리가 있다"고 규정하고 있고, 이에 따라 청소년들 역시 교육청이나 학교 등에 정보공개를 청구할 권리가 있음에도 불구하고 제도가 충분히 활용되고 있지 못하다는 판단 때문인데요, 사업 계획을 짜기 위해 자료를 찾아보던 중, 환경부 홈페이지에서 이상한 문장을 발견했습니다.
정보공개 청구에 대해 안내하는 페이지에 모든 국민이 정보공개를 청구할 수 있는 권리가 있지만 "다만 중학생 이하인 경우는 친권자의 대리에 의하여, 고등학생 이상의 경우에는 공개제도의 취지, 내용 등에 대하여 충분히 이해가 가능하고 비용부담이 가능한 범위 내에서 단독청구 가능합니다"라는 안내 문구가 적혀 있었습니다. 환경부의 설명에 따르면, 중학생들은 본인 혼자서는 정보공개 청구가 불가능하며, 고등학생인 경우에도 '취지, 내용에 대한 이해'가 전제된 경우에만 정보공개 청구가 가능하다는 것이죠.
그러나 정보공개법에서는 '모든 국민'이 정보공개 청구권자로 명시하고 있을 뿐입니다. 그뿐 아니라 아래 사진과 같이 행정안전부의 [정보공개 운영 매뉴얼]에서도 "미성년자, 재외국민, 수형자 등을 포함하는 모든 국민"이 정보공개 청구권자임을 명시하고 있습니다. 중학생의 경우 대리인을 통해서만 가능하다거나, 고등학생의 경우 '취지와 내용 등에 대해 이해가 가능해야 함'을 전제로 한다는 이야기는 없습니다.
이상한 것은, 환경부와 유사하게 정보공개 청구권의 나이 제한을 명시한 공공기관들이 적지 않게 존재한다는 점입니다. 서울특별시교육청 유아교육진흥원의 경우, 정보공개법에는 별도의 규정이 없으나 "중학생 이하의 경우 비용부담능력이 없기 때문에 단독으로 청구하는 것은 인정하지 않으며, 친권자등 법정대리인에 의한 청구가 가능"하다고 설명하고 있습니다. 역으로, 고등학생 이상은 "공개제도의 취지, 내용 등에 대해 충분한 이해가 가능하고 비용부담 능력이 있다고 판단"되기 때문에 단독청구가 가능하다고 이야기하고 있습니다.
2019. 1. 31. 국제사이버법연구회가 개최한 ‘4차 산업혁명 시대, 개인정보보호법 개정안에 대한 특별세미나’에서 오픈넷 김가연 변호사가 종합토론에 참여했다.
이 세미나에서는 현재까지 발의된 개인정보보호법 개정안에 대한 분석을 바탕으로 개선방안을 찾기 위한 토론이 이루어졌다. 김가연 변호사는 개인정보 활용과 관련하여 개정안 중 어떤 안도 정보주체의 권리를 실질적으로 강화하는 방안을 제시하지 못하고 있는 점을 지적했다. 또한 개인정보 거버넌스 문제에 대해서는 개인정보 감독기구를 개인정보보호위원회로 일원화하고 위원회의 독립성을 강화하는 것에 대해서 매우 긍정적으로 평가했으며, 위원 구성을 다양화해야 함을 주장했다.
김가연 (사단법인 오픈넷 변호사)
제1세션과 제2세션 발제 모두 현재까지 발의된 개인정보의 활용 및 거버넌스에 관한 논의들을 개정안에 대한 분석을 통해 종합적으로 조망해볼 수 있는 좋은 기회였다고 생각합니다. 이용자의 입장에서 정보인권 운동을 하고 있는 활동가로서 발제자들께 몇 가지 질문을 던져보고자 합니다.
개정안들을 전반적으로 보면 GDPR의 가명정보와 익명정보의 개념을 도입하자는 데는 큰 이견이 없는 것으로 보입니다. 익명정보의 경우에는 非개인정보이며, 가명정보의 경우에는 개인정보이지만 가공된 개인정보로서 어느 정도 처리를 허용해야 한다는 발제자의 의견에 개인적으로는 공감합니다.
다만 시민사회에서는 개인정보의 범위가 GDPR에 비해 협소해지는 것이 아닌지 하는 우려가 있는데, 특히 “접근 가능성”을 어떻게 판단할 수 있을 것인지를 예시를 들어 설명해주시면 감사하겠습니다. 그리고 가명화를 허용하는 경우에도 결합정보(추가정보)의 분리 보관을 소홀히 하거나 재식별 금지 의무를 준수하지 않을 경우에는 강력하게 사후제재를 할 수 있어야 할 텐데, 여태껏 개인정보 침해 사건에서 소극적인 태도를 보여 온 법원의 입장에 비추어 볼 때 얼마나 실효성이 있을지 의문입니다. 또한 노파심에서 말씀드리면 법에서 요구하는 기술적 조치가 정부가 제시하는 특정 “기술”을 의미해서는 안 될 것입니다.
또한 어떤 안도 정보주체의 권리를 실질적으로 강화할 수 있는 방안은 제시하지 않고 있는 점은 문제라고 생각합니다. 예컨대 개인정보보호법 제35조와 제26조에 따르면 정보주체는 개인정보처리자에게 자신의 개인정보에 대한 열람을 요구할 수 있고 개인정보처리자는 지체없이 열람을 할 수 있도록 해야 하며, 열람 후 개인정보의 정정 및 삭제가 자유로워야 하는데, 실상은 그렇지 않습니다. 그리고 가장 종합적이라 할 수 있는 인재근 의원안에도 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 정보주체의 권리 보호에 관한 내용들이 빠져있는 것은 문제라고 생각합니다.
개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방송통신위원회의 권한을 이관하는 등 개인정보 감독기구를 위원회로 통합하고 독립성을 강화하는 것은 매우 바람직한 방향이라고 생각합니다. 다만 위치정보와 신용정보 등에 있어 방통위와 금융위와 공동으로 권한을 행사하게 되어 있는 것은 아쉽습니다. 중장기적으로 완전한 통합을 이루어야 한다는 발제자의 의견에 동의합니다. 그리고 위원의 구성 관련해서는 현직 공무원이나 공공기관을 배제하고, 국회 추천을 통해 위원 구성을 다양화하는 게 합의제 위원회의 특성을 살리는 길이라고 보입니다. 이상입니다.
국회 행정안전위원회는 오늘(11/27) 전체회의에서 개인정보보호법(인재근 의원 대표발의)을 통과시킬 것으로 예상됩니다. 그러나 개인정보보호법 개정안은 기업의 요구만을 일방적으로 반영하여 개인정보보호 체계의 근본을 흔드는 내용을 포함하고 있습니다.
개인정보보호법 개정안은 정보 주체인 국민 동의 없이 기업들이 서로 정보를 공유, 판매하여 상업적으로 이용할 수 있도록 하는 내용을 포함하고 있습니다. 예컨대 가장 사적이고 민감하여 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근하는 것이 가능하게 됩니다. 또한 소비성향, 소득수준, 재산상태 등등 국민 개개인의 다양한 경제활동에서 생산되는 온갖 정보를 기업들이 공유, 판매할 수도 있습니다. 많은 문제점이 예상되는 상황임에도 불구하고 정부와 국회는 제대로 된 사회적 논의와 합의없이 개정안 통과를 서두르고 있습니다.
이에 시민사회노동단체는 개인정보보호법 개정안이 가지는 문제점의 심각함을 지적하고, 국회 행정안전위원회 전체회의에서 개인정보보호법 통과를 당장 중단할 것을 요구하는 기자회견을 개최했습니다. 시민사회와 함께 개인정보보호법 개악을 반대해 온 정의당의 소개로 무상의료운동본부, 민주사회를위한변호사모임디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 경제정의실천시민연합이 함께 했습니다.
https://www.flickr.com/photos/pspd1994/49129849583/in/dateposted-public/" title="201911273_개인정보보호법개악규탄_긴급기자회견">https://live.staticflickr.com/65535/49129849583_ea0087c279_z.jpg" width="640" />
기자회견문
오늘(11월 27일) 오전 10시에 행정안전위원회 전체 회의가 예정되어 있다. 이미 법안심사소위에서 합의한 개인정보보호법 개정안을 통과시킬 것이라고 한다. 여야 원내대표는 11월 29일에 전체회의를 열어 비쟁점 법안을 처리하겠다고 하며, 소위 ‘데이터 3법’도 이에 포함되어 있다. 비쟁점 법안이라니! 법안이 발의된 이후 시민사회는 이를 개인정보를 상품화하는 개악안으로 끊임없이 비판해왔다. 당신들에게는 비쟁점 법안일지 몰라도, 우리에게는 국민의 정보인권을 침해할 악법이다.
정부 여당은 데이터 3법이라고 부른다. 혹자는 4차 산업의 원유라고 말한다. 당신들에게는 단지 이윤 창출의 원료일 뿐인 ‘데이터’일지 모르지만, 실제 그것은 자칫하면 누군가의 재산과 생명을 위협하거나 차별하는데 활용될 수 있는 ‘개인정보’다. 단지 경제적, 산업적으로 필요하다는 이유로 누군가의 개인정보가 마치 생산 원료, 혹은 공유 자산인 것처럼 활용되어서는 안된다. 그렇게 오용한다면 4차 산업의 원유가 아니라 4차 산업이 유발한 공해이거나 흉기라고 불러야 할 것이다.
지난 주 미디어오늘과 시민사회단체들은 공동으로 개인정보 3법 관련 상임위원회(행정안전위원회, 과학기술정보방송통신위원회, 정무위원회, 보건복지위원회, 법제사법위원회) 소속 국회의원을 대상으로 설문조사를 진행하였다. 국회의원 자신들은 자기의 개인정보가 동의없이 상업적으로 판매되는 것에 동의하는지, 개인정보 3법이 개인정보의 동의없는 판매와 공유를 허용하는 것을 알고 있는지, 국민 대다수는 자신의 개인정보가 동의없이 판매되는 것에 반대한다는 것을 알고 있는지, 그럼에도 불구하고 개인정보 3법의 통과에 찬성하는지 물었다. 단지 지도부의 지시에 따르는게 아니라, 국회의원 스스로 법에 대한 충분한 이해와 소신을 바탕으로 처리하려고 하는지 묻고자 했다. 그러나 거의 대다수의 국회의원이 이러한 국민들의 질의에 답하지 않았다. 소신없이 처리하는 것이 부끄러웠기 때문인가.
이번 주에도 기업은 국회에 소위 데이터 3법이라고 부르는 개인정보 3법의 통과를 요구하고 국회는 기업의 얘기를 듣겠다는 포럼이 여기저기서 열리고 있다. 4차 산업혁명이 시민들의 개인정보와 다른 인권에 어떠한 영향을 미칠 것인지를 묻고, 시민사회의 의견을 진지하게 청취하고자 하는 움직임은 미약하다. 문재인 정부에게, 여당인 더불어 민주당에게 아직도 사람이 먼저인지 묻고 싶다. 연일 개인정보 3법 통과를 강조하는 이인영 원내대표는 시민사회와의 소통을 언제까지 외면할 것인가.
국회에 다시 한번 호소한다. 이렇게 시민사회의 목소리를 무시하고 개인정보 3법을 강행한다면, 국민들의 강한 반발에 부딪힐 수 밖에 없다. 계속 경고했듯이, 개인정보보호에 대한 신뢰없는 4차 산업혁명은 신기루에 불과하다. 최소한 다양한 의견들이 토론되고 합의점을 찾아나갈 수 있는 공간과 시간이 필요하다. 개인정보보호법의 성급한 개악을 중단할 것을 촉구한다!
2019년 11월 27일
무상의료운동본부, 민주노총, 민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 참여연대, 경제정의실천시민연합
보도자료 [">https://docs.google.com/document/d/1ibzT_Oltja7nMkuPT_PMabei6Fnr--aijoSL...원문보기/다운로드]
지난 2021년 6월 10일, 한국경영자총협회, 한국인터넷기업협회, 한국통신사업자연합회 등 주요 기업 협회들은 개인정보 보호법 2차 개정안에 대한 공동 입장문을 발표하였다. 이 입장문에서 기업들은 "전체 매출액 기준의 과징금 상향, 과도한 개인정보 전송요구권의 도입, 사법절차에 준하는 분쟁조정위원회 사실조사권 부여 등 개인정보 보호법 개정안의 주요 조항"의 수정을 요구하였다. 한마디로 개인정보 활용은 쉽게, 그러나 책임은 지지 않겠다는 것이다. 개인정보보호위원회는 기업들의 뻔뻔한 압력에 굴복해서는 안된다.
개인정보보호위원회가 개인정보보호법 2차 개정안을 입법 예고한 이후, 기업들은 과징금을 전체 매출액 기준으로 변경한 것에 대해 집중적으로 반대 입장을 표명해왔다. 그러나 전체 매출액 기준 과징금 부과는 한국만의 독특한 정책이 아니며, 유럽연합의 개인정보보호법(GDPR)을 비롯한 국제적인 흐름이 되어가고 있다.
기업들은 GDPR이 전체 매출액 기준으로 과징금을 부과하고 있는 것이 “EU내 경쟁력 있는 디지털 기업이 거의 없고 시장 전체를 글로벌 기업에 잠식당한 상황에서 우회책으로 마련한 통상제재 수단”이라고 폄하하고 있는데, 이는 터무니없는 해석이다. GDPR은 글로벌 기업을 비롯해서 EU 역내의 모든 사업자에게 적용이 되는데, 기업들의 논리대로라면 EU는 디지털 산업 육성을 포기라도 했다는 말인가.
더구나 2차 개정안은 현행 형사처벌을 완화하고 경제적 제재를 강화하고 있는데, 이는 기업들이 오래 동안 요구해온 것을 반영한 것이다. 기업들은 “과징금 규모를 높이는 것이 개인정보 보호 강화에 영향을 미친다는 ‘실증적 연구결과’가 전혀 없다”고 하는데, 그렇다면 개인정보 보호 강화에 영향을 미치는 제재 방법에 대한 실증적 연구결과를 제시해보라. 단지 형사처벌도 싫고 과징금 규모를 높이는 것도 싫다면, 개인정보 침해에 대해 제대로 책임을 지지 않겠다는 것 아닌가. 그렇다고 미국처럼 집단소송제와 징벌적 손해배상제도가 있어 피해를 당한 정보주체들에게 엄청난 손해배상을 감당해야 하는 것도 아니지 않은가.
기업들은 전체 매출액이 아닌 ‘관련’ 매출액 기준으로 하자고 하지만, 한 기업 내에서 개인정보가 관련된 매출액을 엄밀하게 구분해낼 수 있는가. 이를 축소해석하여 개인정보 침해에 대한 책임을 회피하고, 관련 매출액에 대한 해석 논란을 제기하여 시간을 끌자는 꼼수임이 뻔히 보인다.
기업들은 분쟁조정위원회에 강제적 조사권을 부여하는 것에 대해서도 반대하고 있다. 개인정보 분쟁조정 제도와 관련한 2차 개정안의 취지는 분쟁조정에 의무적으로 응해야 할 대상을 확대하고 효과적인 사실조사를 할 수 있는 법적 근거를 마련하여, 분쟁조정 제도를 활성화하고자 하는 것이다. 개인정보와 관련된 분쟁의 경우, 다수의 피해자가 존재하지만 특정 개인에게 미치는 피해는 크지 않아, 피해 당사자들이 소송을 제기하는 것이 부담스러운 경우가 많다. 그렇기 때문에 빠르고 적은 비용으로 분쟁을 해결할 수 있는 분쟁조정 제도를 활성화할 필요가 있는 것이다. 그나마 2차 개정안과 같이 개정되어도 기업들이 조정안을 수락하지 않으면 분쟁조정이 성립하지 않기 때문에 한계가 있다. 그럼에도 기업들이 2차 개정안조차 수용하지 못하겠다는 것은 분쟁조정 제도의 활성화를 막고자 하는 것이고, 이는 개인정보 침해의 피해자들이 손쉽게 소송을 제기하지 못할 것임을 고려한 ‘배째라’식 행태에 다름 아니다.
기업들은 “산업계의 현실을 반영하지 못하면서 정보주체의 권리 강화에도 도움이 되지 않는 개보법 2차 개정안 주요 조항들의 재검토”를 주장하고 있다. 드러내놓고 정보주체의 권리를 보호하고자 하는 조항들에 반대하면서 말이다. 그렇다고 정보주체의 권리를 강화하기 위한 다른 합리적 방안을 제안한 것도 아니지 않는가.
지난 2020년 1월 개인정보보호법 개정은 정보주체의 동의없이 개인정보를 활용하고자 하는 기업들의 일방적 요구를 수용한 것이었다. 인공지능 등 신기술에 대응하여 정보주체의 권리를 보호하고 기업들의 책임성을 강화하기 위한 조항들은 논의조차 되지 못했다. 정보주체의 권리를 강화한다는 2차 개정안의 내용도 시민사회의 기대에 현저히 미치지 못하기 때문에 우리 시민사회는 정보주체의 권리를 강화할 별도의 개정안을 준비하고 있다.
이번 기업들의 공동 입장문에서 볼 수 있다시피, 한국 기업들의 개인정보 보호인식은 매우 낮은 수준이다. 인공지능 챗봇 이루다 사태가 발생한 것도 개인정보 보호에 대한 인식도 없이 기술 개발만 잘하면 된다는 기업과 정부의 무책임에 기인한 바 크다. 심지어 통신사와 같은 대기업조차 개인정보의 동의없는 활용에만 치중하고 있을 뿐, 정보주체의 권리를 제대로 보장하지 않고 있는 것이 우리의 현실이다.
- 기업들은 개인정보보호법 2차 개정안에 대한 뻔뻔한 요구를 즉각 철회하라!
- 개인정보보호위원회는 정보주체의 권리를 제대로 보호하고 기업의 개인정보 침해 행위에 엄중한 책임을 물어라!
2021년 6월 15일
경실련, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹
성명[https://docs.google.com/document/d/1lyBdGgELclR_CCzP8RWc0q6Eep9KsUGlFlU1... target="_blank" rel="nofollow">원문보기/다운로드]
지난 2월 27일, 개인정보보호법 개정안(의안번호 2120089 위원장 대안, 이하 개정안)이 국회 본회의를 통과했다. 개정안은 현행 개인정보보호법보다 일부개선된 측면이 있음에도 불구하고, 정보주체의 권리 보호와 개인정보 처리자의 책임성 강화 측면에서 국제적인 규범과 시민사회의 기대에 한참 미흡한 수준이다. 이에 다음과 같이 이번 개정안의 한계를 짚고, 향후의 개선 과제를 제안하고자 한다.
우선, 개정안이 상임위인 국회 정무위원회를 통과한 직후, 시민사회는 수사기관의 ‘원격 몰래 감시’의 가능성을 열어준 독소조항에 대한 우려를 표명한 바 있는데, 법사위 논의 과정에서 해당 문구가 삭제된 것은 다행스럽다.
그러나 개정안은 개인정보 활용을 요구하는 산업계의 로비에 밀려 국제규범에 한참 미흡한 수준으로 타협하였다.
이번 개정안은 이미 국회를 통과하였지만, 개인정보 보호법은 여전히 개선되어야 할 부분이 많다. 개인정보보호위원회가 정부안을 발의하는 과정에서 시민사회의 의견을 반영하지 않았고, 국회에서도 병합안을 입안하는 과정에서 시민사회의 요구가 반영되어 정보주체의 권리 보장과 개인정보처리자의 책임성 강화를 주 내용으로 하는 민병덕 의원안 및 배진교 의원안은 배제하였기 때문이다. 추후 개정에는 아래와 같은 내용이 포함되어야 한다.
첫째, 민병덕 의원안 및 배진교 의원안을 반영하여 정보주체의 권리 보호와 개인정보 처리자의 책임성을 강화해야 한다.
둘째, 표적 광고를 목적으로 동의없이 이용자의 인터넷 행태정보를 수집하는 관행에 대한 우려가 높아지고 있고, 이에 개인정보보호위원회에서 작업반을 구성하여 표적 광고와 관련한 가이드라인을 논의하고 있는 바, 법적 확실성을 위하여 개인정보보호법에 표적 광고 목적의 식별자를 개인정보로 명확하게 규정할 필요가 있다. 표적 광고 자체가 서로 다른 개인의 취향과 관심사에 맞춰 제공되는 것임에도 불구하고, 기업들은 뻔뻔하게도 이를 개인정보가 아니라고 우기면서 정보주체의 동의 없이 이를 처리해왔기 때문이다.
아직 21대 국회가 1년 넘게 남아있는 만큼, 향후에는 진정으로 정보주체의 권리를 보호하는 방향으로 개인정보보호법을 개정할 것을 국회에 촉구한다.
2023년 3월 3일
경제정의실천시민연합, 무상의료운동본부, 전국민주노동조합총연맹,민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 소비자시민모임, 연구공동체 건강과대안, 전국민주노동조합총연맹 진보네트워크센터, 참여연대, 한국소비자연맹
원문보기/다운로드
The post [공동논평] 국회 본회의 통과한 개인정보보호법 개정안, 국제규범과 시민사회 기대에 한참 못미쳐 appeared first on 참여연대.
5월 28일 목요일 사단법인 오픈넷은 미 하버드대학교 버크맨 인터넷과사회 연구센터(Berkman Center for Internet and Society)와 함께 “정보매개자 책임의 국제적 흐름 – 이용자 권리 보호와 ICT 산업 발전을 위한 플랫폼사업자의 책임원칙” 국제 세미나를 국회의원회관 제1소회의실에서 개최한다. 동 세미나는 박주선 의원실, 염동열 의원실(이상 국회 교육문화체육관광위원회), 유승희 의원실(국회 미래창조과학방송통신위원회), 국회입법조사처, 그리고 (사)한국언론법학회, 한국인터넷법학회, 고려대학교 법학연구원, 서울대학교 기술과법센터가 함께 주최하며, 방송통신위원회와 한국저작권위원회가 후원한다.
정보매개자(Intermediary)란 인터넷상에서 타인의 정보를 매개하는 자를 통칭하는데, ISP뿐만 아니라 네이버와 다음 같은 포털, 검색엔진, SNS 등이 모두 포함된다. 오늘날 인터넷상 정보의 유통은 다양한 정보매개자를 통해 이루어지기 때문에 정보매개자의 책임과 관련된 정책은 인터넷 이용자들의 표현의 자유와 프라이버시에 지대한 영향을 미친다. 그럼에도 불구하고 국내에서는 아직까지 정보매개자 책임에 대한 논의가 미미한 실정이어서, 이번 국제 세미나를 통해 관련 논의를 활성화하고 국제적 흐름에 부합하는 정보매개자 책임 정책의 방향성을 제시할 수 있을 것으로 기대된다.
동 세미나는 10시 개회식을 시작으로, 박경신 오픈넷 이사가 세미나의 개최 취지를 소개하면서 한국의 대표적인 정보매개자 책임 제도인 정보통신망법상 임시조치 제도와 저작권법상 전송중단 제도에 대해 평가한다. 이어 제1세션 <정보매개자 책임에 대한 이해>에서는 박경신 이사를 좌장으로 하여, 하버드대 교수이자 버크맨센터 소장인 어스 개서(Urs Gasser) 교수가 세계 각국의 인터넷과 사회 연구센터들의 합의체인 NoC(Global Network of Internet & Society Centers)에서 진행한 “국가별 온라인 매개자 가버넌스 연구(Governance of Online Intermediaries)”의 연구 결과를 소개하고 정보매개자 가버넌스 정책 설정에 고려되어야 할 사항들을 제시한다. 일본 엔데버 법률사무소의 나오코 미즈코시 변호사는 “일본의 정보매개자 책임 원칙”에 대해 사례발표를 하는데, 특히 2001년 제정된 「특정전기통신역무제공자의 손해배상책임 제한 및 발신자정보의 개시에 관한 법률」과 관련 가이드라인의 내용을 소개한다.
제2세션 <정보매개자 책임과 ICT 생태계>에서는 고려대 김제완 교수가 좌장을 맡고, 미 UC데이비스 로스쿨의 아누팜 챈더(Anupam Chander) 교수가 “e-실크로드와 정보매개자 책임”이라는 주제로 미국 실리콘 밸리의 성공비결이 표현의 자유를 포용한 인터넷기업 책임 제한 법제에 있음을 논증하고 한국의 제도와 비교평가한다. 유럽ISP협회(EuroISPA) 올리버 쥬메(Oliver Sueme) 회장은 유럽 전자상거래지침상 정보매개자 책임 규정의 해석과 함께 불법 콘텐츠 삭제 요구시 고려되어야 할 사항과 필터링 의무 금지 원칙 및 관련 판결에 대해 설명한다.
마지막으로 제3세션 <정보매개자 책임과 저작권 제도>에서는 연세대 박덕영 교수를 좌장으로 하여, 미 산타클라라대 로스쿨의 에릭 골드먼(Eric Goldman) 교수가 OSP의 면책을 위해 제정된 디지털밀레니엄저작권법(DMCA) 상의 통지 및 삭제(Notice-and-Takedown) 조항이 법원의 판결에 의해 어떻게 피난처(safe harbor)로서의 기능을 잃고 있는지 비판적으로 분석하고, 호주 모나쉬대 레베카 깁린(Rebecca Giblin) 교수는 18개월에 걸쳐 진행된 “삼진아웃제에 대한 평가”라는 연구 프로젝트에서 나타난 삼진아웃제의 실효성을 뒷받침하는 증거들의 결함을 설명하고 한국의 삼진아웃제도에 대한 시사점을 제시한다. 그리고 종합토론 시간에는 영국 옥세라 컨설팅의 파트너 데이빗 제번스(David Jevons)가 “피난처가 인터넷 매개자인 스타트업에 미치는 경제적 영향”이라는 주제로 옥세라 팀원들과 함께 제작해서 보내온 특별 동영상을 상영할 예정이다.
세미나 참가 신청은 오픈넷 홈페이지(opennet.or.kr/
* 세미나 온라인 생중계 주소: http://www.ustream.tv/channel/
<첨부>
국제 세미나 포스터
[초청장] “정보매개자 책임의 국제적 흐름” 국제 세미나
문의: 오픈넷 사무국 02-581-1643, [email protected]
** 본 세미나에 참석을 원하시는 분께서는 사전등록을 해주시기 바랍니다. (초대장 하단 “사전등록하기”)
지난 4월 16일 부터 시행되고 있는 개정 전기통신사업법 시행령에 따르면 이동통신사(알뜰폰 사업자 포함)는 청소년 스마트폰 이용자를 대상으로 청소년유해매체물 및 음란물의 필터링 프로그램(차단수단)의 설치여부를 확인해야 하며, 차단수단이 삭제되거나 15일 이상 작동되지 않는 경우 법정대리인에게 통보해야 한다.
그러나 청소년을 대상으로 한 차단수단의 설치 및 유지 의무는 청소년 보호라는 적법한 입법목적을 고려하더라도 차단수단 자체의 기술적인 문제점뿐 아니라 헌법적인 문제점도 함께 노출하고 있어 시행 초기부터 많은 우려를 낳고 있다.
이번 오픈넷 포럼에서는 청소년의 “접근통제” 수단인 필터링에 요구되는 정책적, 헌법적 고려 요소에 대해 살펴보고, 현행 전기통신사업법 및 동법 시행령에 대한 입법적 보완책을 모색해보고자 한다.
박지환 오픈넷 변호사는 “개정 전기통신사업법 시행령의 헌법적 검토 및 입법적 보완필요성”에 대해서, 이준행 커뮤니티 ‘일간워스트’ 개발자가 “청소년 스마트폰 필터링 수단의 기술적 검토”에 대해 각각 주제 발제를 진행할 예정이다.
그리고 건국대학교 법학전문대학원의 한상희 교수가 개정 전기통신사업법 시행령의 헌법적 검토를, 주무부처인 방송통신위원회 개인정보보호윤리과 최선경 인터넷윤리팀장이 현행 법령의 도입 취지 및 운영 방침을, 그리고 부산대학교 법학전문대학원 서희석 교수가 일본의 인터넷 관련 청소년보호 법령을 중심으로 지정토론을 진행할 예정이다.
참가비는 무료이며, 아래 링크에서 참가신청이 가능하다.
[오픈넷 포럼] 청소년 스마트폰 필터링, 어디까지 차단해봤니? http://opennet.or.kr/9151
문의: 오픈넷 사무국 02-581-1643 / [email protected]
<행사 안내>
청소년 스마트폰 필터링, 어디까지 차단해봤니?
– 개정 전기통신사업법 시행령에 대한 입법적 보완책을 중심으로
- 일시: 6월 22일(월) 오후 7시 30분 ~ 9시 30분
- 장소: 스타트업얼라이언스 앤스페이스
서울특별시 강남구 테헤란로 423, 현대타워 7층 http://startupall.kr/location/
(1) 주제 발제 1: 개정 전기통신사업법 시행령의 헌법적 검토 및 입법적 보완필요성
- 박지환 오픈넷 변호사
(2) 주제 발제 2: 청소년 스마트폰 필터링 수단의 기술적 검토
- 이준행 커뮤니티 일간워스트 개발자
(3) 토론
- 한상희 건국대학교 법학전문대학원 교수
- 최선경 방송통신위원회 개인정보보호윤리과 인터넷윤리팀장
- 서희석 부산대학교 법학전문대학원 교수
국정원이 해킹감청프로그램을 비밀리에 구매했다는 사실이 드러났고, 국정원이 이 프로그램을 불법감청에 사용했을 것으로 보이는 정황이 조금씩 드러나고 있습니다. 국정원의 프로그램 구매 내역과 사용현황을 정확하게 밝히고 불법사용에 대해 국회가 진상조사에 나서야 합니다. 특히 7월 14일 오후 2시부터 국회 정보위원회 회의가 열리므로 국회 정보위에서 이번 사건의 진상을 밝히는데 나설 것을 촉구하는 기자회견을 개최했습니다.
기자회견문
국정원은 해킹 프로그램 사용을 즉각 중단하고 진상을 국민 앞에 투명하게 밝혀라!
국정원이 이탈리아 해킹 프로그램 사용을 시인했다고 한다. 그러나 "대북·해외 정보전" 차원이었다는 변명을 덧붙였다. 국내 민간인 사찰 목적이 아니라는 설명이다.
불행히도 우리는 이제 국정원을 믿을 수 없다. 원세훈 전 국정원장은 선거개입과 국내정치개입 혐의로 오는 16일 상고심 선고를 앞두고 있다. 국정원이 해킹 프로그램을 한창 구입하기 시작했던 때가 바로 그 문제의 시기였다. 원장의 지시 하에 이루어진 국내정치 개입 과정에서 국정원은 이 프로그램을 전혀 쓰지 않았을까?
또 국정원은 그간 휴대전화 감청을 못하기 때문에 통신사마다 감청설비를 의무화해야 한다고 주장해 왔다. 그러나 사실은 수년에 걸쳐 휴대전화를 해킹하고 카톡을 검열해 온 것으로 보인다. 과거에도 국정원은 "휴대폰은 감청이 안된다"고 국민을 속였지만 뒤로는 몰래 휴대전화 도청장비를 직접 개발하여 사용했던 전력이 있다. 우리 국민은 국정원에 또다시 속은 것인가. 언제까지 속아야 하는가.
진상을 밝히기 위해 오늘 열리는 국회 정보위원회 뿐 아니라 그 후로도 필요한 후속 조치가 모두 이루어져야 할 것이다. 국민들 앞에 국정원의 해킹 프로그램 사용을 둘러싼 모든 의혹이 명명 백백 하게 밝혀져야 한다. 여러 차례 거짓말을 일삼아 온 국정원이 이제는 국민 앞에 투명하게 진상을 밝힐 것을 엄중 요구한다. 규명되어야 할 의혹들은 다음과 같다.
첫째, 국정원이 해킹 프로그램을 이용해 무엇을 했는지 전면 밝혀야 한다. 특히 국내 민간인 사찰 유무가 명확히 밝혀져야 한다.
보도들을 종합해 보면, 국정원의 감시 목표는 국내 스마트폰 이용자였던 것이 거의 확실하다. 국정원은 국내에서 가장 일반적으로 사용된다는 이유에서 해킹팀에 카카오톡 검열 기능을 요청하였고, 국내에 새로운 스마트폰이 출시될 때마다 그 정확한 기종명을 적시하여 보완을 요구하였다. 또한 국내에서 널리 쓰이는 모바일 백신을 회피할 방법을 문의하는 등, 국내 스마트폰 이용자를 사찰하려는 목적이 뚜렷해 보인다.
안드로이드와 아이폰에 대한 원격 공격을 강조하였던 국정원은 특히 지방선거가 있었던 2014년6월 안드로이드폰 공격 기능을 요구하였다. 총선, 대선, 지방선거 등 선거 시기에 국정원이 선거와 국내 정치에 개입하기 위해 이 프로그램을 사용하였을 가능성에 대하여 우리는 깊이 우려하지 않을 수가 없다.
따라서 국정원은 해킹 프로그램의 구체적인 사용현황과 더불어 각각의 적법성에 대하여 정확한 답변을 내놓아야 할 것이다. 이 프로그램을 구입하고 활용한 부서가 국내파트인 2차장 산하가 아닌지에 대한 의혹에도 답해야 한다.
둘째, 국정원이 왜 굳이 나나테크라는 민간회사를 통하는 복잡한 경로로 해킹 프로그램을 은밀하게 구입하였는지도 밝혀져야 할 문제이다.
통신비밀보호법 제10조의2에 따르면 국회 정보위원회에 통보하면 정보수사기관이 적법하게 감청설비를 도입할 수 있다. 그런데 국정원은 그나마의 정보위원회의 감독조차 우회하였고 나나테크 역시 감청설비 수입에 대한 미래부 인가를 받지 않은 것으로 알려져 있다. 불법의 연속이다.
국정원이 이렇게 은밀하고도 불법적으로 이 프로그램을 해외에서 구입한 것은, 해킹팀이 국외에 있기 때문에 장래에 들통나는 것을 방지할 수 있다는 이유에서였다고 한다. 그들은 무엇이들통나는 것이 두려웠던가?
사실은 휴대전화를 도감청해오고 있는데 국민이 그 사실을 알아차리는 것이 두려웠을까? 국정원은 이 프로그램이 국내 '시민 감시에 사용'했을 가능성이 노출되는 것을 뚜렷이 두려워했다.이는 도둑이 제발 저린 모습이 아닌가.
또한 해킹 프로그램은 국내에서 불법이다. 실시간이 아니기에 해킹은 감청이 아니다. 현행 통신제한조치(감청) 영장이 발부되는 영역이 아님은 물론이다. 압수수색영장이 직접 집행될 수 있는 영역도 아니다. 그야말로 불법이다. 국정원은 이 해킹 프로그램의 구매와 사용이 불법임을 충분히 인지하였기에 국민 앞에 감추려고 했던 것이다.
이런 정보기관을 갖게 된 것은 우리 국민의 불행이다. 선거 개입과 국내정치 개입 사실이 밝혀진 후로도 국정원의 개혁은 미완인 채로 남아 있었다. 그 결과 국정원은 바로 며칠 전까지 외국해킹팀과 국민을 속일 방안을 논의할 수 있었다.
민주국가에서 비밀 정보기관이 여러 예외를 인정받는 것은 국민의 안전을 지키기 위해서이다.그러나 이 땅의 국가는 세월호로부터 메르스 때까지 국민이 위험할 때는 존재가 희미하였고, 이렇게 국민을 감시하고 그 위에 군림할 때만 위용을 뽐낸다. 정권의 이해에만 복종하는 국가정보기관은 인정될 수 없다. 국정원은 해킹 프로그램 사용을 즉각 중단하라. 국민 앞에 모든 진상을 밝혀라. 불법행위가 확인되면 관련자들을 즉각 처벌하라.
2015년 7월 14일
민주사회를위한변호사모임 진보네트워크센터 참여연대 천주교인권위원회 한국진보연대
국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.
우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”
두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.
위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)
여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900)
오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)
눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.
이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.
2015년 7월 22일
사단법인 오픈넷
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).
RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.
해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/
오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).
오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.
스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의 감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.
————————————————-
[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/
[2] http://redsocksmtd.blogspot.
[3] https://www.rooksecurity.com/
[4] 이탈리아 해킹팀이 RCS를 각국 정부에 팔았고, RCS가 모로코와 아랍에밀레이트 기자와 인권운동가를 감시하는 데에 사용되었다는 의혹이 제기된 것이 2012년이다. 그리고 시티즌랩(Citizen Lab)이 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표한 것이 2014년 2월 17일이다. https://citizenlab.org/2014/
2015년 7월 27일
(사)오픈넷
진보네트워크센터
P2P재단코리아준비위원회
시민들의 의견
댓글 달기