참여연대 공익법센터(소장 박경신 교수, 고려대)는 오늘(10/14) 지난 10월 6일 주식회사카카오(이하 카카오)가 보도자료를 통해 발표한 통신제한조치(이하 감청) 협조 재개에 대한 공식 입장을 카카오에 전달하였다. 참여연대는 카카오가 작년 10월 이른바 대규모 사이버망명 사태까지 부른 카카오톡 대화상대방 개인정보제공 논란을 잠재우기 위해 이용자의 권익을 우선하겠다며 검찰의 카카오톡 대화 감청에 불응하겠다고 선언한 이후 의미있는 상황 개선이 이루어지지 않았는데 스스로 이용자들과 한 약속을 철회한 것은 유감이라고 밝혔다.
작년 2014년 10월 카카오톡 논란의 시작은 검찰이 소위‘국론분열’을 일으키는 글들에 대해 명예훼손 수사를 위해 카카오톡 대화내용과 같이 사적인 내용까지 뒤지겠다고 표명하면서였다. 특히 당시 노동당 정진우 부대표에 대한 카톡대화내용 압수수색 때 죄없이 대화방에 있던 대화상대방 3천여명의 신원정보도 같이 제공되었다는 폭로 때문에 대규모 사이버 망명이 일어나는 등 논란은 더욱 확산되었다. 카카오는 이를 수습하기 위해 이 문제와는 직접적인 관련이 없지만 이용자 프라이버시에 대한 의지를 밝히기 위해 “실시간성”에 논란이 있던 감청영장의 집행을 거부하였고 카톡망명사태는 잦아들었다. 그로부터 1여년이 흐른 10월 7일부터 카카오는 다시 감청영장의 편법적 집행을 재개한다고 밝힌 것이다. 하지만 사태 확산의 원인이 된 대화상대방의 개인정보 제공 관행이 개선되었는지는 의문이다.
카카오는 단체대화방(단톡방)의 경우 수사 대상자를 제외한 나머지 대화 참여자들에 대해서는 익명으로 처리해서 자료를 제공하되, 수사과정에서 익명화 처리된 사람들 중 범죄 관련성이 있는 사람이 나올 경우에 한해, 공문으로 수사기관이 이들 대상자를 특정해서 추가로 전화번호 등 인적사항을 요청하면 제공한다고 밝혔다. 이런 방식을 통해 작년 카카오톡 논란의 핵심 문제였던 하나의 영장으로 대화방에 있는 수십, 수백명의 이용자 개인정보와 프라이버시가 침해될 수 있는 위험을 개선할 수 있다는 것이다.
하지만 이와 같은 단계적 접근을 취하더라도 검찰이 제시하는 공문을 그대로 따르는 것은 상황개선이라고 볼 수 없다. 범죄관련성 여부를 검찰이 사법적 통제없이 판단하기 때문이다. 여전히 정진우 전노동당 부대표의 사건에서처럼 단체대화방에 있다는 이유만으로 범죄와 연관성이 없는 대화상대방 3000여명의 신상정보가 그대로 제공되는 사태가 재현될 수 있다. 따라서 감청영장에 명시되지 않았던 대화상대방의 개인정보는 검찰의 공문에 의할 것이 아니라 범죄연관성을 다시 소명하여 법원으로부터 새로 발부받은 영장을 제시할 때만 제공하여야 한다. 이는 네이버가 이용자의 개인정보를 무단으로 수사기관에 제공한 데 대해 손배배상을 인정한 고등법원 판결을 계기로 포털사들이 대법원의 확정 판결이 나올 때까지 영장제시 없는 이용자개인정보는 제공하지 않겠다는 2012년 10월 선언에도 반하는 것이다.
국회에는 이용자들의 개인신상정보를 법원의 통제없이 수사기관이 수집하는 것의 문제점에 대한 공감대가 형성되어 이를 개선하기 위해 관련한 <전기통신사업법> 및 <통신비밀보호법> 개정안이 다수 제출되어 있기도 하다. 따라서 카카오가 이번 감청협조 요구에 응하기로 하면서 함께 대화상대방의 정보를 영장 아닌 수사기관의 공문에 따라 제공하겠다는 방침은 영장 제시없이는 이용자개인정보를 제공하지 않겠다는 선언을 어기는 것이므로 철회하여야 할 것이다.
카카오의 감청집행 협조 재개에 대한 항의서한
귀 사는 지난 10월 6일 보도자료를 통해 2014년 10월부터 중단해 온 <통신비밀보호법>에 따른 수사기관의 통신제한조치(이하 감청)에 응하기로 했다고 밝혔습니다. 이는 귀 사의 이석우 대표가 10월 13일 긴급기자회견을 열어 수사기관의 감청에 응하지 않기로 선언한 지 1년 만의 일입니다.
참여연대는 이번 감청협조 재개는 작년 감청불응을 결정하게 된 상황 개선이 전혀 없는 상태에서 귀사 스스로 이용자권익을 우선하겠다는 약속을 철회하였다는 점에서 유감입니다.
작년 카카오톡 감청 논란의 원인인 ‘대화상대방 개인정보의 무차별적 제공 관행’이 개선되었는지 의문
작년 2014년 10월 카카오(당시 다음카카오) 논란이 시작된 것은, 검찰이 명예훼손 수사를 위해 카카오톡 대화내용과 같이 사적인 내용까지 뒤지겠다고 표명했기 때문이었습니다. 하지만 사태가 확산된 것은 노동당 정진우 부대표에 대한 카톡대화내용 압수수색 때 죄없이 대화방에 있던 대화상대방 3천여명의 신원정보도 같이 제공되었다는 폭로 때문이었습니다. 카카오는 이 문제와는 직접적인 관련이 없지만 이용자 프라이버시에 대한 의지를 밝히기 위해 "실시간성"에 논란이 있던 감청영장의 집행을 거부하였고 카톡망명사태는 잦아들었습니다.
그로부터 1년이 지난 지금 귀사는 감청영장의 편법적 집행을 다시 재개한다고 하였는데, 사태 확산의 원인이 된 대화상대방의 개인정보 제공 관행이 개선되었는지 의문입니다. 귀사가 10월 6일 보도자료에서 밝힌 바에 따르면, 단체대화방(단톡방)의 경우 수사 대상자를 제외한 나머지 대화 참여자들에 대해서는 익명으로 처리해서 자료를 제공하되, 수사과정에서 익명화 처리된 사람들 중 범죄 관련성이 있는 사람이 나올 경우에 한해, 공문으로 수사기관이 이들 대상자를 특정해서 추가로 전화번호 등 인적사항을 요청하면 제공한다고 했습니다.
그런데 이와 같은 단계적 접근을 취하더라도, 검찰이 제시하는 “공문”을 그대로 따르겠다는 것은 이전과 다를 바가 없습니다. 왜냐하면 범죄관련성 여부의 판단에 검찰에게 맡겨지며 그 판단은 사법적 통제 밖에 이루어지기 때문입니다. 예컨대 검찰이 대화상대방 90%의 신원정보를 받겠다고 해도 거절하지 않겠다는 것이며 이렇게 되면 정진우 전 노동당 부대표의 사례처럼 범죄연관성이 없는 카톡 상대방 3000여명의 신상이 그대로 제공되는 사태가 다시 발생할 수도 있는 것입니다.
감청영장에 명시되지 않은 대화상대방의 개인정보 제공은 새로운 영장 제시할 때만 가능
물론 감청영장이 대화상대방의 개인정보도 취득할 것을 명시하고 있으니, 처음부터 제공해도 되는 정보라고 생각하고 있을지도 모릅니다. 특히 검찰이 대상자를 특정한 공문을 보내도록 한 후에야 이 정보를 제공하게 된 것은 일종의 진전이라고 카카오 경영진은 생각하고 있을지도 모릅니다. 그러나 감청과 동시에, 송수신이 완료된 또는 저장된 정보를 부수적으로 취득하는 행위는 이를 허락하는 문서의 제목이 무엇인지에 관계없이 압수수색에 해당하는 것이며 압수수색은 범죄에 관련된 정보에 한정되어야 합니다. 영장에 “취득대상은 범죄에 관련된 정보에 한정된다”고 쓰여져 있지 않더라도 형사소송법 제106조 제1항 및 제109조 제1항에 따라서 그렇게 한정되어야 마땅합니다. 그런데 검찰이 자신이 취득한 대화내용을 근거로 범죄관련자를 선별하여 이들의 개인정보만 제공받겠다고 할 때는 틀림없이 대화상대방 상당수의 개인정보는 범죄와 무관함을 인정한 것이며 그렇게 무관한 것들을 손쉽게 사전에 걸러낼 수 있음을 인정하는 것과 다르지 않습니다.
최근 대법원 판례에 따르면, 수사의 어느 단계에서 범죄와 무관한 정보를 취득하게 됨이 명백할 때는, 수사기관이 제106조와 제109조를 지키기 위해서는 새로운 영장을 통하여 추가수사에서 발생하는 사생활침해와 수사상의 필요 사이의 저울질을 한 후에 추가수사를 진행해야 합니다(“혐의사실 관련성에 대한 구분 없이 전자정보를 문서로 출력하거나 복제하는 행위는 원칙적으로 영장주의에 반하는 압수” 대법원 2015.7.16. 2011모1839).
그렇다면, 검찰도 특정 대화상대방의 신원정보를 요구할 때는 대화의 어떤 내용을 근거로 특정 대화상대방을 범죄관련자로 본 것인지 또 그런 판단이 타당한 것인지에 대한 사법적인 통제가 이루어져야 마땅합니다. 즉 감청에 부수하여 진행되는 대화상대방의 개인정보 취득은 별도의 영장이 필요한 절차입니다. 물론 대화상대방의 신원정보 취득은 전기통신사업법 제83조의 3항에 따라 영장없이 이루어질 수도 있지만 이미 카카오는 다른 포털사들과 함께 2012년 10월에 이용자보호를 위해 관련사건이 대법원에서 확정될 때까지 이를 거부할 것을 선언하였습니다. 그런 카카오가 이번 감청 집행에 협조를 재개하면서 추가 영장없이 이용자들의 개인정보를 제공하는 것은 2012년 10월 선언의 정신에 반하는 것이라 하겠습니다.
수사기관의 공문에 의한 대화상대방 개인정보 제공 철회해야
현재 국회에는 영장없는 통신자료제공 문제를 해결하기 위한 법안이 11개가 발의되어 있습니다. 적어도 이중의 하나가 통과된 후에야 작년 사태의 원인이 되었던 무분별한 대화상대방 개인정보 제공 문제가 개선되었다고 말할 수 있을 것이고, 그때서야 2012년 10월 선언을 재검토해도 귀사로서는 늦지 않다고 생각합니다.
따라서 이번 감청협조 요구에 응하기로 하면서 함께 대화상대방의 정보를 영장 아닌 수사기관의 공문에 의해 제공하겠다는 방침은 철회할 것을 요구합니다.
참여연대 공익법센터(소장 박경신 교수, 고려대)는 오늘(10/19) 수사기관의 과도한 개인정보 수집과 사찰을 방지하기 위해 제출된 <전기통신사업법>개정안, <통신비밀보호법>개정안의 처리를 촉구하는 입법요구서를 법안 대표발의 의원들과 관련 상임위인 법사위 및 미방위 위원들에게 보냈다.
최근 카카오의 감청영장 협조재개를 계기로 작년 10월 이른바‘사이버망명’이 대규모로 일어난 후 카카오측이 감청영장 협조 중단을 선언해 한동안 가라앉았던 수사기관에 의한 과도한 개인정보 수집과 사찰 우려가 다시 고조되고 있다. 참여연대는 이와 같은 일이 반복되는 것은, 법제도적으로 수사기관에 의한 과도한 개인정보 수집과 사찰 가능성을 차단하지 못하고 있기 때문이라고 지적했다.
현재 국회에는 수사기관이 이용자들의 개인정보를 과도하게 수집하는 등 프라이버시와 통신의 자유를 침해하는 문제를 해결하기 위해 <전기통신사업법>개정안과 <통신비밀보호법>개정안이 다수 제출되어 있다. 하지만 해당 상임위에 상정된 후 이렇다 할 진전이 이루어지지 않고 있다. 이에 법안 대표발의자들과 관련 상임위인 법사위와 미방위 위원들에게 법안 심사를 촉구하는 입법요구서를 보내게 된 것이다.
별첨- 입법요구서
국가 전파 감시•감독 기관인 미래창조과학부 중앙전파관리소의 도청(불법감청) 탐지 절차와 범위가 명확하지 않은 것으로 드러나 논란을 빚고 있다. 35개 민간 불법감청설비탐지업 등록법인에 대한 실태 점검 체계도 허술해 프라이버시 침해 우려를 낳고 있다.
전파관리소 사법경찰관과 민간 불법감청설비탐지업자가 누구의 어떤 대화를 엿듣고 녹음 파일을 얼마나 만들어 어떻게 다뤘는지 낱낱이 확인할 수 없는 상태. 관련 자료 보존•폐기 여부도 오로지 도청 탐지 장비를 다루는 공무원과 민간 업자의 양심에 기댈 뿐이다.
특히 전파관리소가 불법감청설비탐지업체의 영업 실태를 점검할 근거마저 없어 문제다. 전파관리소 관계자도 “(위법 행위) 예방 차원에서 1년에 한두 번 계도할 뿐 장비 현황이나 운영 실태, 영업 실적 따위를 조사할 권한이 없다”고 확인했다. 불법감청설비탐지업체가 도청 여부 탐지를 맡긴 시민의 개인 정보를 얼마나 가졌고, 어떻게 보호•관리하는지조차 제대로 살펴볼 수 없어 개선이 요구된다.
법이 애매한 경우도 많으니 (도청 탐지 근거를) 명확히 하자. 법이 명확하지 않으니 (전파관리소가 시민 대화를 엿듣는 것 아니냐는) 의혹이 있지 않나 하는 취지로 법 개정을 검토하고 있습니다.
3월 18일 전상하 중앙전파관리소 불법감청설비팀장의 말. 지난 2월 22일 광주전파관리소가 사기도박 몰래카메라 영상과 무선 통신 내용을 녹화•녹음한 뒤 경찰과 함께 혐의자들을 붙잡은 게 되레 국가기관의 도청 논란으로 번지며 불거진 전파관리소의 고민이 들어 있다. 전파관리소 쪽이 도청 탐지 행위의 법적 근거를 다 갖추지 못한 상태임을 인정한 건 이번이 처음이다.
그동안 전파관리소가 도청 탐지 근거로 내세운 통신비밀보호법 제3조(통신 및 대화비밀의 보호)를 보면 그 누구든지 전기통신을 엿듣거나 공개되지 않은 다른 사람 간 대화를 녹음•청취할 수 없지만 ‘혼신 제거 등을 위한 전파 감시’를 예외로 해 뒀다. 이 예외 조항에 기대어 ‘전파 감시 활동 중에 감청과 녹음을 할 수 있는 것’으로 여겼던 것. 하지만 통신비밀보호법 제3조의 예외 근거로 이어진 전파법 제49조와 51조는 허가받지 않았거나 혼신을 일으키는 전파를 찾아 바로잡기 위한 것이지 주파수를 타고 흐르는 남의 대화를 듣거나 녹음하는 데 쓸 기준은 아니다. 해당 법률에 ‘도•감청’이나 ‘녹음’ 같은 낱말이 명시되지도 않았다. 이처럼 두루뭉술한 근거 때문에 늘 시빗거리가 될 수 있음에도 법률과 세칙 따위를 개선하지 않은 채 사기도박 증거로 감청•녹음을 내민 터라 전파관리소 스스로 감청 논란을 불러왔다.
▲최시중 제1기 방송통신위원회 위원장(왼쪽 줄 가운데)이 2008년 7월 10일 서울 가락동 중앙전파관리소를 찾아가 오승곤 당시 전파보호과장(오른쪽 줄 아래)으로부터 불법감청 탐지 체계에 관해 들었다. (사진: 옛 방송통신위원회 보도자료)
▲최시중 제1기 방송통신위원회 위원장(오른쪽 앞)이 2008년 7월 10일 서울 가락동 중앙전파관리소에서 이동형 전파측정장비를 살펴봤다. 장비를 설명하는 이는 민원기 당시 중앙전파관리소장. (사진: 옛 방송통신위원회 보도자료)
광주전파관리소는 실제로 “콜, 들어가라. 콜, 콜” 같은 대화를 담은 44초짜리 녹음과 몰래카메라 영상 녹화로 사기도박 혐의자를 잡는 데 큰 구실을 했다. 전파관리소의 이런 능력이 정치인은 물론이고 시민을 표적으로 삼을 수도 있을 것으로 풀이됐다. 민주사회를위한변호사모임 광주전남지부와 진보네트워크센터가 전파관리소의 시민 사찰 의혹과 걱정을 내놓은 까닭이다.
그동안 전파관리소는 도청 탐지 활동으로 사기도박단을 잡아낸 걸 자랑할 일로 여겼다. 국가기관의 부지런한 전파 감시 덕에 사기도박 덫에 빠진 시민을 구해 낸 미담으로 보였기 때문이다.
중앙전파관리소가 2011년 5월 31일 보도자료를 내어 2010년 불법감청설비 적발 수가 25건이라고 널리 알렸을 정도. 이 가운데 하나인 2010년 1월 19일 대전전파관리소의 사기도박단 검거 사례도 올 2월 광주에서 일어난 일과 비슷했다. 무선 영상 몰래카메라와 생활 무전기를 갖춘 채 사기도박으로 생각된 ‘전파에 담긴 음성’을 추적해 잡아냈다.
이 사건이 더욱 눈길을 끈 건 “아산시 전파 관리를 위해 설치한 원격 지능형 전파측정시스템에 의해 사기도박으로 추정되는 ‘음성이 감지돼’ 전파 송신 위치를 추적했다”는 대전전파관리소 쪽 설명. ‘원격 지능형 전파측정시스템’은 서울•부산•광역시•도청소재지를 중심으로 설치한 붙박이 전파측정장비 70식(주변기기를 포함한 소프트웨어와 하드웨어 결합 체계)과 준붙박이 장비 14식이다. 중앙전파관리소 쪽 설명으로는 “국내 거주 지역의 35%”를 덮는 규모. 이 체계에 이상한 전파가 감지되면 방향탐지장비 15식과 전파측정차량 23대를 이용해 송신 위치를 찾아간다. 아산시 사례는 전파관리소가 폭넓은 전파 속 음성 탐지와 위치 추적 체계를 갖췄음을 방증했다.
2009년 4월 17일 대전전파관리소가 대전지방검찰청에 송치한 사기도박단 사건도 전파 탐지와 위치 추적 형태가 비슷했고 보도자료를 통해 널리 알려졌다. 대전에 사는 100억 원대 자산가 김 아무개 씨가 사기도박 덫에 걸려들었다는 내용과 모자에 숨겼던 몰래카메라 사진까지 곁들여 흥미까지 불러일으켰다.
▲움직이며 전파를 측정하는 전파관리소 자동차(왼쪽)와 2009년 4월 대전전파관리소가 잡아낸 사기도박용 몰래카메라•무전기. (사진: 옛 방송통신위원회와 중앙전파관리소 보도자료)
2008년 10월 30일 더 재미있는 보도자료도 나왔다. 중앙전파관리소가 그해 11월을 ‘불법감청(도청) 예방 및 집중 단속 기간’으로 정하고 지방 전파관리소별로 전국 일제 단속에 나선다는 것. 단속 기간에 도청 대응 심포지엄을 열어 무료로 탐지 서비스까지 해 주겠다고 곁들여 마치 잔치를 벌이는 듯했다.
오승곤 당시 중앙전파관리소 전파보호과장은 “소형 도청기를 이용한 사기도박, 개인비밀 도청, 관음적 촬영 등의 불법 행위가 발생하기 때문에 집중 단속이 불법감청으로 인한 국민의 사생활 보호는 물론 일반 국민에게 불법감청에 대한 경각심을 높이는 계기가 될 것”이라고 말했다.
특히 오 과장과 중앙전파관리소는 보도자료에 ‘불법도청 예방수칙’까지 곁들여 눈길을 모았다. 가정 무선 전화로는 중요한 대화를 하지 말라거나 복제될 수 있으니 휴대폰을 다른 사람에게 빌려 주지 말라는 내용을 넣은 ‘도청 예방 10계명’을 내놓은 것. 처음 보는 휴대폰 같은 전자기기가 주변에 있다면 전원을 끈 상태로 서랍에 넣어두라는 ‘불법감청 육안 체크리스트’들도 담아내 전파관리소가 다각적이고 다면적인 도청 탐지 체계를 운영하고 있음을 엿보게 했다.
▲2008년 10월 30일 중앙전파관리소가 내놓은 도청 예방 10계명.
통신비밀보호법에 실태 점검을 해라 그런 게 없어요. 법이 미비한 점이 있다고 생각되는데요. 저희한테 어떻게 하라는 규정이 없어요. 그분들(불법감청설비탐지업자)이 등록한 뒤 (위법 행위) 예방 차원에서 계도하는 거라고 보시면 됩니다.
3월 21일 이재택 중앙전파관리소 조사계장(방송통신기기•불법감청설비 총괄)의 말. 올 2월 기준으로 35개에 이른 불법감청설비탐지업체의 영업 활동이 일으킬 수 있는 부작용이나 위법 행위를 막을 만한 관리 체계가 없다는 뜻이다.
“예방 차원에서 계도한다”고는 하나 “그 업체에서 (사법경찰관이 사업장에) 오셔서 지도 점검할 근거가 있느냐고 되물으면 (대답할 게) 없다”는 게 전파관리소 관계자의 설명. 도청 전파를 찾아 녹음할 수 있는 장비를 갖추고 자유롭게 영업하는 불법감청탐지업체의 위법 행위를 딱히 규제할 방법이 없다는 얘기였다. 이른바 ‘계도’를 위한 업체 방문도 “웬만하면 1년에 한 번 이상 가려고 노력한다”는 정도에 지나지 않았다.
불법감청설비탐지업체가 새로운 도청 탐지기를 사들였더라도 전파관리소에 ‘장비 변경 신고’를 할 의무도 없는 것으로 확인됐다. 처음 사업 등록을 할 때 유선(통신)선로분석기와 주파수스펙트럼분석기를 각각 1식만 갖춘 뒤로는 장비에 관한 감독을 따로 받지 않기 때문이다.
더욱 큰 문제는 민간 업체가 일하며 알게 된 고객의 정보를 어떻게 관리하는지 알 수 없다는 것. 이 또한 사업 등록을 할 때 ‘이용자 보호 계획’을 낸 뒤로는 중앙전파관리소의 감독이 미치지 않는 상태다. 고객 정보 관리 실태를 들여다볼 법적 근거가 없음은 물론이다.
한 불법감청탐지업체 대표는 “(고객) 개인 정보를 다 파기한다”고 말했으되 일하다가 음성을 녹음한 건 어떻게 관리하느냐는 질문에 “회사 보안상 말씀드릴 수 없다”며 대답을 피했다. 나중에 녹음한 것도 지우느냐는 질문에도 “보안상 모두 말씀드릴 수 없고, 개인 정보는 저희가 철저히 관리하고 있는 부분”이라고 덧붙였다. 중앙전파관리소가 계도 차원에서 실태 조사 같은 걸 나왔을 때 고객 정보 관리 상황을 살펴봤느냐는 질문에도 대답을 내놓지 않았다.
“전파관리소는 벤츠급이고 우리는 그랜저나 소나타급”이라며 도청 탐지 장비의 기능상 차이가 없음을 내보인 또 다른 업체의 대표도 ‘녹음이 적법하냐’는 질문엔 입을 다물었다. 그는 기자의 질문이 법적 근거 여부로 이어지자 갑자기 “(도청 탐지 중에 들리는 음성은) 사람 목소리를 말하는 게 아니다”고 강변했다. 하지만 이 업체는 인터넷 홈페이지에 2013년 어느 날 서울 서초동 한강변 아파트를 지날 때 ‘탐색기에서 한 여성의 통화 내용이 들렸다’고 소개해 뒀다. 그와 그의 동료들은 스펙트럼분석기와 전파방향탐지기를 들고 ‘음성이 더욱 또렷하게 들리는 곳으로 걸어갔다’고도 밝혔다. 고객이 도청 탐지를 의뢰하지 않았음에도 대화를 일부러 엿들어 통신비밀보호법을 위반 시비에 휘말릴 개연성이 커 보였다.
이 업체가 서울 서초동에 사는 어느 여성의 통화 내용을 엿듣기만 했는지, 녹음까지 했는지를 전파관리소 쪽이 알거나 확인할 길이 없다. 통화 내용에 담겼던 개인 정보를 제3자에게 넘겼거나 달리 이용했는지도 깜깜하기로는 매한가지. 모두 도청 탐지 장비를 든 이의 양심에 맡겨야 할 따름이다.
▲한 불법감청탐지업체가 인터넷 홈페이지에 소개한 도청 탐지 사례. 탐지 장비를 켠 채 돌아다니다가 도청 전파에 담긴 음성을 엿들은 것으로 보였다. 설거지 소리까지 들렸다는 내용도 있다.
▲불법감청탐지업체들이 인터넷에 소개한 여러 장비. 도청 탐지 전파에 담긴 음성을 녹음하는 기능이 있는 걸(오른쪽 위 빨간 점선 원) 확인할 수 있다.
전파관리소도 도청 탐지 장비를 쓰는 사법경찰관 20명의 양심에 기댈 뿐이다. 불법 전파를 감시하다가 만난 도청 내용(음성)을 얼마나 들어야 할지, 녹음할지 말지 따위의 기준과 절차로 미리 정해 둔 게 없기 때문. 엿들은 정보와 녹음을 사사로이 이용하거나 제3자에게 넘기지 않는 것 또한 사법경찰관 제각각의 도덕에 맡겨야 한다.
이런 지경임에도 미래창조과학부와 전파관리소의 도청 탐지 사법경찰관에 대한 교육이나 활동 관리 체계마저 허술했다. 1년에 한두 차례 지방검찰청별로 수사 관련 교육을 할 뿐 도청 탐지 기술이나 개인 정보 보호와 관련해서는 사법경찰관의 개별 경험에 기대는 형편이다.
녹음과 개인 정보를 포함한 도청 탐지 수사 자료의 관리도 제대로 이루어지지 않았다. 도청 탐지 활동을 몇 년 동안 얼마나 벌여 몇 건을 잡아냈고, 어떤 내용을 녹음해 검경에 증거로 제공했는지 따위를 따로 관리하지 않았다는 게 전파관리소 쪽 설명. 전파관리소 한 관계자는 “수사 자료 원본을 모두 검찰에 송치한다”며 기자의 정보 공개 청구가 있더라도 “(전파관리소 차원에서) 공식적인 자료를 파악하지 않는다고 답변할 수밖에 없다”고 말했다. 따로 헤아려 관리하는 자료가 없기 때문에 공개할 게 없다는 뜻으로 들렸다.
옛 정보통신부 출신 업계 관계자는 “우리 사회에서 전파 쓰임새가 많아지다 보니 불법 이용에 대한 감시도 더욱 중요해질 수밖에 없다”며 “그만큼 역작용도 고려해야 한다”고 말했다. 그는 특히 “전파 감시 장비를 다루는 공무원(사법경찰관)과 민간 사업자의 도덕적 해이를 어떻게 점검할 것인지를 생각해 볼 때가 된 것 같다”고 보았다.
- 개인영상정보보호법의 핵심은 “통합관제센터”의 법적 근거 마련
- 통제 없는 전방위적 “통합관제”로 CCTV 감시국가로 가겠다는 것
- 설치 전후 이해당사자 의견수렴, 내부자 통제, 녹음 정보 관리 등 통합관제센터에 대한 독립적 감시, 통제수단 전무 및 영장주의, 통신비밀보호법 우회 우려
- 개인정보보호위원회의 역할 전무 – 제정안과 무관하게 개인정보보호위원회의 통합관제센터 설치 및 운영에 대한 강력한 통제 필요
2016년 12월 29일 오픈넷은 행정자치부가 마련하여 현재 입법예고 중인 개인영상정보보호법 제정안(이하 ”제정안”)에 대하여 아래와 같이 반대의견을 제시한다.
현재 제정안은 제정이유를 “모든 영상정보처리기기로부터 국민의 권리와 이익을 보장”하는 것으로 설명하고 있고 행정차치부가 이 부분만을 강조하고 있어 일반 시민들은 제정안이 “드론”이나 “블랙박스”등 이동형 영상정보처리기기로부터 개인정보자기결정권 보호를 강화하는 법안으로 오해하기 쉽다.
그러나 제정안의 핵심은 현재 개인정보보호법 위반 논란이 끊이지 않는 “통합관제센터” 설치 및 운영에 구체적인 법적 근거를 마련하기 위한 것임에도 이에 대한 논의가 전혀 이루어지지 않고 있다는 데에 문제의 심각성이 있다.
지난 2016년 12월 21일(수) 행정자치부가 주관한 입법 공청회에서 오픈넷은 제정안의 통합관제센터 부분은 CCTV를 이용한 전방위적 감시체제를 합법화시킬 우려가 크다는 의견을 피력한 바 있으며, 같은 취지로 입법예고에 대한 의견서를 제출할 예정이다.
제정안은 개인정보보호법에 없는 개인(영상)정보의 “통합관제”라는 개념을 창설하면서 다른 목적으로 수집되는 영상정보를 수집된 목적 외로 활용하는 행위에 법적인 근거를 부여하고 있다. 이는 정의조항 그 자체로 개인정보보호원칙 중 “목적구속성”원칙을 심각하게 훼손할 우려가 크며, 제정안의 허술한 내부 통제 규정과 맞물려 수사기관 등에 의한 CCTV 감시를 묵인하는 수단으로 악용될 소지가 매우 크다.
“영상정보 통합관제”란 다수의 개인영상정보처리자가 설치ㆍ운영하거나 서로 다른 목적으로 설치ㆍ운영하는 영상정보처리기기를 통하여 수집되는 영상정보를 통합하여 관리ㆍ통제하는 것(이하 “통합관제”라 한다)을 말한다.
현재 조례에 의해 지방자치단체가 설치, 운영 중인 통합관제센터는 상당수 경찰과 민간단체가 법적 근거 없이 상시 관제하고 있어 개인정보보호법 위반 논란이 끊이지 않고 있다. (참고: 어디서든 긴장해라, CCTV가 지켜보니까, http://www.bloter.net/a
또한 이 “통합관제”의 범위에 설사 일시적으로만 가능한 형태라 하더라도 수사기관 등에 CCTV를 이용한 개인영상정보를 실시간 제공하는 행위가 포함되거나 이 같은 내용이 지방자치단체의 운영계획에 명시적으로 포함된다면 경찰관의 상주 없이도 수사기관 등에 의한 상시적 원격 감시로 악용될 우려가 크다.
제정안 제10조(개인영상정보의 수집・이용 및 제공) ① 개인영상정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인영상정보를 수집ㆍ이용할 수 있으며 영상정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 그 수집ㆍ이용 목적을 달성하기 위해 불가피한 경우에 한하여 개인영상정보를 제3자에게 제공할 수 있다.
더욱이 제정안 제10조 제1항에 따르면, 영상정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 그 수집 이용 목적을 달성하기 위해 불가피한 경우에 개인정보를 제3자에게 제공할 수 있어 개인(영상)정보의 제3자 제공의 요건을 개인정보보호법보다 완화하고 있어 통합관제센터에서 수집된 CCTV 영상이 별다른 통제 없이 수사기관에 실시간 또는 사후 제공될 이루어질 가능성이 매우 높다.
(1) 개인정보보호법이 정보주체의 사전 동의 없이 CCTV에 의한 개인정보를 수집할 수 있는 가장 큰 근거는 대부분 공고로 대체되고 있긴 하나 CCTV 설치 전에 설치 지역 주민들에게 의견을 수렴하는 절차를 두고 있기 때문이다(개인정보보호법 제25조 제3항). 통합관제센터 설치는 개별관제시설설치보다 더 기본권 침해 가능성이 높음에도 제정안에는 통합관제센터 설치에 대한 사전 의견수렴이나 운영에 대한 사후 청문절차가 전무하다.
개인정보보호법 제25조 ③ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치·운영하려는 자는 공청회·설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
통합관제센터를 설치하기 위해서는 행정자치부장관에게 운영계획을 “신고” 후 (제정안 제17조 제2항), 지방자치단체 스스로 의뢰하여 수행되는 “개인영상정보 영향평가”만 거치면 되기 때문이다(제정안 제18조 제1항). 통합관제센터에 의한 개인정보자기결정권 침해 우려는 CCTV의 개별관제보다 더욱 큰데도 통합관제센터 설치와 운영에 개인정보주체의 의사는 철저하게 배제되어 있는 것이며, 개인정보보호위원회 역시 어떠한 역할도 수행하지 못한다.
(2) 제정안은 통합관제센터 운영 통제 조항에 대한 원칙을 전혀 정한 바 없이 모두 행정자치부 고시로 정하도록 하고 있어(제정안 제17조 제5항) 의회유보원칙 위반 소지가 크며, 통합관제센터 운영에 대해서는 행정자치부장관의 실태조사(제정안 제20조) 외에는 독립적 정기적으로 감시, 통제할 방법이 전무하다. 실태조사 실시 여부는 오로지 행정자치부장관이 결정하며, 실태조사에 개인정보보호위원회나 이해당사자가 참여할 방법도 없다.
제정안 제17조 ⑤ 통합관제센터 종사자의 근무 수칙, 보안대책 등 기타 통합관제센터의 운영에 필요한 사항은 행정자치부장관이 정하여 고시한다.
종사자의 내부통제도 허술하긴 마찬가지다. 전과 유무 정도의 소극적 자격 제한 외에 행정자치부장관이 정한 교육만 받으면 되는데, 영국의 경우 CCTV 관제업무 종사를 위해서 엄격한 자격제도(보안산업국SIA라이선스)를 운영하는 것과 비교된다.
(3) 한편 현재 개인정보보호법이 CCTV에 의한 녹음과 설치목적 외 임의조작을 전면 금지하고 있는 것(개인정보보호법 제25조 제5항)에 비하여 제정안은 CCTV를 이용한 녹음은 물론 설치 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 있어 주의를 요한다. (제정안 제8조)
해당 조문은 예외적인 경우에만 녹음 및 임의조작을 허용하고 있지만 이를 통해 가중될 사생활의 비밀 침해 위험을 고려하면 이렇게 간단히 처리할 일이 아니다.
개인정보보호법 제25조 ⑤ 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
제정안 제8조(영상정보처리기기의 목적 외 운영 등 제한) ① 개인영상정보처리자는 다음 각 호의 경우를 제외하고는 제6조제1항에 따라 설치ㆍ운영 중인 영상정보처리기기를 당초 설치ㆍ운영 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 없다.
1. 영상정보주체의 요구가 있는 경우
2. 법령에서 구체적으로 허용하고 있는 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위하여 명백히 필요하다고 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
4. 개인영상정보처리자의 정당한 이익을 보호하기 위하여 일시적으로 필요한 경우로서 명백하게 영상정보주체의 권리보다 우선하는 경우. 이 경우 개인영상정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인영상정보처리자는 제1항 각 호의 어느 하나에 해당하는 경우를 제외하고는 제6조제1항에 따라 영상정보처리기기를 설치ㆍ운영함에 있어서 녹음을 하여서는 아니 된다.
녹음은 영상의 촬영과 달리 사람의 생각이 음성으로 표출되는 것을 직접 포착하기 때문에 프라이버시 침해의 위험이 크고 CCTV의 임의조작이나 다른 곳을 비추는 행위 역시 그러하고 두 가지가 결부되면 더욱 큰 문제이다. 이는 CCTV 규제에 슬쩍 끼워서 다룰 문제가 아니라 가중된 위험을 본격적으로 고려한 별도의 입법이 필요하다. 예컨대 법안에는 녹음과 임의조작 방식 등 구체적인 운영 방법에 대해 아무런 제한 규정이 없어 CCTV가 일반적으로 누구나 들을 수 있는 범위를 넘어서는 은밀한 대화까지 녹음하는 기능을 갖출 경우 영장주의나 통신비밀보호법을 우회하여 상시적 감시와 감청을 하는 수단으로 악용될 소지마저 있다. 녹음과 목적 외 임의조작을 허용하는 제정안 제8조는 독소 조항이며 반드시 폐기되어야 한다.
무엇보다 제정안은 행정자치부에 통합관제센터와 관련된 모든 권한을 부여하고 있어 현재 그 중요성에 비하여 역할을 제대로 수행하고 있지 못한 개인정보보호위원회(이하 “위원회”)의 위상을 더욱 위축시킬 우려가 있다. 또한 제정안은 위원회가 2015년 의뢰한 연구용역이 개인영상정보보호법과 같은 특별법 제정은 불필요하다는 결론을 낸 것과는 상충되는 것이어서 제정안을 만들 때 과연 개인정보보호위원회가 참여했는지조차 의문이다.
통합관제센터가 이미 전국적으로 설치되어 있어 이에 대한 법적 근거를 마련하는 것이 필요하다고 하더라도, 제정안과 같이 행정자치부의 통제 하에 법적 근거만을 마련하는 형태의 법안은 허술한 통제 하에 CCTV에 의한 감시국가로 가겠다는 것과 다름아니며, 만약 이 같은 법안이 반드시 필요하다고 하더라도 그 설치와 운영에 대한 관리감독 주체는 독립적 위원회 조직인 개인정보보호위원회가 되어야 한다.
제정안 중 통합관제 관련 부분 발췌
제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.
5. “영상정보 통합관제”란 다수의 개인영상정보처리자가 설치ㆍ운영하거나 서로 다른 목적으로 설치ㆍ운영하는 영상정보처리기기를 통하여 수집되는 영상정보를 통합하여 관리ㆍ통제하는 것(이하 “통합관제”라 한다)을 말한다.
제8조(영상정보처리기기의 목적 외 운영 등 제한) ① 개인영상정보처리자는 다음 각 호의 경우를 제외하고는 제6조제1항에 따라 설치ㆍ운영 중인 영상정보처리기기를 당초 설치ㆍ운영 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 없다.
1. 영상정보주체의 요구가 있는 경우
2. 법령에서 구체적으로 허용하고 있는 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위하여 명백히 필요하다고 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
4. 개인영상정보처리자의 정당한 이익을 보호하기 위하여 일시적으로 필요한 경우로서 명백하게 영상정보주체의 권리보다 우선하는 경우. 이 경우 개인영상정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인영상정보처리자는 제1항 각 호의 어느 하나에 해당하는 경우를 제외하고는 제6조제1항에 따라 영상정보처리기기를 설치ㆍ운영함에 있어서 녹음을 하여서는 아니 된다.
제5장 영상정보의 통합관제
제17조(통합관제센터의 운영) ① 지방자치단체는 영상정보처리기기의 안전한 관리와 개인영상정보의 보호를 위하여 영상정보 통합관제 업무를 전담하여 수행하는 시설(이하 “통합관제센터”라 한다)을 운영할 수 있다.
② 지방자치단체가 통합관제센터를 운영하고자 하는 경우에는 다음 각 호의 내용을 포함한 운영계획을 마련하여 행정자치부장관에게 신고하여야 하며 이미 신고된 내용에 중대한 변경이 있는 경우에는 변경 신고를 하여야 한다.
1. 기관명, 소재지, 관리책임자, 담당부서 등 일반현황
2. 영상정보처리기기 설치 목적 및 근거, 설치 대수 및 위치, 촬영범위 및 촬영시간 등 통합관제 현황
3. 접근통제, 접근제한, 접속기록 보관 등 개인영상정보의 안전성 확보를 위한 기술적ㆍ관리적ㆍ물리적 보호대책
4. 원본 영상의 훼손 또는 위ㆍ변조 방지를 위한 내부관리 체계
5. 열람 및 보관요구 처리 등 영상정보주체의 권익 보호를 위한 내부 절차
6. 그 밖에 대통령령으로 정하는 사항
③ 제8조제1항에도 불구하고 통합관제센터 종사자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 영상정보처리기기의 설치ㆍ운영 목적과 다른 용도로 개인영상정보를 관제하여서는 아니 된다.
1. 다른 법령에서 구체적으로 허용하는 경우
2. 재난 또는 재해 시 긴급한 대응을 위한 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위해 필요하다고 명백히 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
④ 지방자치단체는 영상정보처리기기의 효율적 운영 등을 위하여 필요한 경우 다른 공공기관의 영상정보처리기기를 통합관제 할 수 있으며, 이 경우 관련 공공기관은 영상정보처리기기 설치․운영, 관리․유지보수 등에 소요되는 제반 인력 및 예산을 분담하거나 지원하여야 한다.
⑤ 통합관제센터 종사자의 근무 수칙, 보안대책 등 기타 통합관제센터의 운영에 필요한 사항은 행정자치부장관이 정하여 고시한다.
제18조(개인영상정보 영향평가) ① 지방자치단체가 통합관제센터를 운영하고자 하는 경우에는 개인영상정보의 침해 위험요인 등 그 영향을 분석하고 개선 사항을 도출하기 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정자치부장관에게 제출하여야 한다. 이 경우 지방자치단체는 영향평가를 「개인정보 보호법」 제33조제1항에 따라 행정자치부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
② 지방자치단체가 제1항에 따른 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 통합관제 대상 영상정보처리기기의 설치 대수
2. 개인영상정보의 처리방법 및 보관 기간의 적정성
3. 영상정보주체의 권리를 침해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정하는 사항
③ 행정자치부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 의견 제시 및 시정 요청을 할 수 있다. 이 경우 통합관제센터를 운영하려는 지방자치단체는 정당한 사유가 없는 한 이에 따라야 한다.
④ 행정자치부장관은 영향평가의 활성화를 위하여 관련 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑤ 제1항에 따른 영향평가의 평가기준 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 지방자치단체 외의 개인영상정보처리자는 통합관제 운영으로 인하여 영상정보주체의 개인영상정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 노력하여야 한다.
제19조(통합관제센터 종사자 관리 등) ① 통합관제센터를 운영하는 지방자치단체는 다음 각 호의 어느 하나에 해당하는 자를 통합관제 업무에 종사하게 하여서는 아니 된다.
1. 미성년자ㆍ제한능력자
2. 파산선고를 받고 복권되지 아니한 자
3. 금고 이상의 실형을 선고받고 그 집행이 종료되거나 집행을 받지 아니하기로 확정된 후 5년이 지나지 아니한 자
4. 금고 이상의 형을 선고받고 그 집행유예 기간이 끝난 날부터 2년이 지나지 아니한 자
5. 금고 이상의 형의 선고유예를 받은 경우에 그 선고유예 기간 중에 있는 자
② 지방자치단체는 통합관제 업무에 종사하는 자에 대하여 개인영상정보의 보호를 위해 필요한 교육을 정기적으로 실시하여야 한다.
③ 제2항에 따라 통합관제 업무에 종사하는 자를 대상으로 하는 교육의 시간과 내용은 행정자치부장관이 정하여 고시한다.
제20조(통합관제센터의 실태조사) ① 행정자치부장관은 통합관제센터의 운영에 대한 실태조사를 실시하여 그 결과를 발표하고 이를 개인영상정보를 보호하기 위한 정책수립의 기초자료로 활용할 수 있다.
② 행정자치부장관은 제1항에 따른 실태조사의 실시를 위하여 통합관제센터 운영자 및 관계 단체 등에 대하여 자료의 제출이나 의견의 진술 등 협조를 요구할 수 있다.
③ 제2항에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다.
2016년 12월 29일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, master@openne
지난 5월 2일, 문화체육관광부, 방송통신위원회, 경찰청 등은 공동으로 ‘불법유통 해외사이트 집중 단속’ 계획을 발표하였다. 이 계획에는 불법 해외사이트에 대한 집중 단속 및 처벌, 저작권 캠페인 실시 및 확산, 저작권법 개정, 불법 해외사이트의 접속차단 실효성 강화 등이 포함되어 있다. 그러나 정부가 발표한 계획안은 이용자의 표현의 자유를 제한하고 감시를 강화하는 등 기본권 침해가 우려된다. 이에 정부 계획안에 대한 시민사회의 입장을 다음과 같이 밝힌다.
문화체육관광부는 사이트 접속 차단을 신속하게 하기 위해 방송통신심의위원회의 심의 없이 저작권보호심의위원회의 심의만으로 차단할 수 있게 하겠다고 한다. 또한 불법복제물 링크 사이트를 운영하는 것도 단속하고 처벌할 수 있도록 저작권법에 근거를 마련하겠다고 한다. 이와 관련한 저작권법 개정안이 이미 국회 교육문화체육관광위원회(이하 “교문위”)의 대안으로 상임위를 통과하여 법사위에 계류되어 있다. 그러나 이 대안은 4차 산업혁명 시대에 역행하는 많은 독소조항을 포함하고 있어 시민사회는 이에 대해 반대하는 입장을 표명한 바 있다.[1]
시민사회의 입장에서 이미 지적한 바와 같이, 교문위 대안은 미국에서 표현의 자유 침해 논란에 휩싸여 결국 폐기된 SOPA(Stop Online Piracy Act), PIPA(Protect IP Act) 법안보다 더 강력한 것인데, 저작권 침해물뿐만 아니라 침해물과 관련된 정보까지 대상으로 하기 때문이다. 또한 사법적 판단도 없이 침해 관련 정보를 게시한 사이트에 대한 접속을 문체부 장관과 한국저작권보호원이 차단할 수 있도록 하는 것은 정부의 검열로서 이용자의 정보접근권과 표현의 자유 등 정보기본권을 중대하게 위협한다. 특히 한국저작권보호원은 원래 저작권자 단체들이 만든 사조직인 저작권보호센터를 국민의 세금으로 운영하도록 2016년에 법정화한 것으로, 보호원에게 사이트 접속 차단 권한을 주면 저작물의 보호와 이용의 균형을 추구해야 하는 저작권 제도의 근간이 무너질 수 있다.
인터넷 상의 링크를 규제하겠다는 발상도 위험하다. 링크는 인터넷이 제 역할을 하기 위한 기본적인 기능인데, 이를 규제하겠다는 것은 인터넷의 연결성, 역동성, 혁신을 저해할 수 있다. 또한 이용자들이 다양한 맥락에서 링크를 할 수 있는 바 링크에 대한 규제는 이용자의 표현의 자유를 위협한다.
문화체육관광부는 해외 사이트 접속 차단의 실효성을 높이기 위해 DNS 차단방식을 적용하고 SNI(Server Name Indication) 필드 차단방식을 개발하겠다고 밝혔다.
DNS 차단방식은 이미 문화체육관광부도 보도자료에서 인정한 것처럼 ‘과차단’의 위험이 있다. 불법 여부를 막론하고 특정 도메인 하의 모든 콘텐츠가 차단되기 때문이다. ‘제한적으로 시행’한다고 하지만, 합법적인 콘텐츠까지 차단될 위험성을 배제하기 힘들다.
보안 프로토콜(https)을 사용하는 사이트 차단을 위한 SNI 필드 차단방식의 개발은 더욱 위험하다. 암호화되지 않은 SNI 필드는 일종의 보안 허점이라고 볼 수 있는데, 이러한 보안 허점을 정부 규제에 활용하는 것이 적절한지 의문이다. 보안 프로토콜은 저작권 침해 등 불법적 목적을 위해서 존재하는 것이 아니라, 원하지 않는 외부의 감시나 위협으로부터 자신의 프라이버시를 보호하고자 하는 목적에서 도입된 것이기 때문이다.
사실 이 보안허점을 해결하기 위한 패치가 나오고 있는 상황이기 때문에 실효성도 없을 것이다. 문제는 정부의 안이한 인식이다. 보안 프로토콜이 일부 불법적인 목적을 위해 사용이 된다고 하여 이용자의 보안 프로토콜 이용을 무력화하고자 하는 것인가. 저작권 보호를 명분으로 이용자에 대한 감시 수단을 개발하고자 하는가. SNI 필드를 통한 차단을 위해서는 패킷의 콘텐츠 부분에 대한 모니터링이 필요하며, 이는 불법 감청이 될 수 있다. 이러한 기술이 개발된다면, 향후 언제라도 비단 불법 사이트 차단 목적으로만 활용될 것이라는 보장이 없다.
불법 저작물 단속이라는 명분이 모든 수단을 합리화하는 것은 아니다. 특히 국민의 인권 보장을 표방하고 있는 정부라면, 저작권 단속 과정에서 또 다른 기본권 침해가 없는지 세심하게 살펴야 할 것이다.
[1] 4차 산업혁명이라면서 시대에 역행하는 저작권법 개정안을 내놓은 정부와 국회
2018년 5월 16일
사단법인 오픈넷, 정보공유연대 IPLeft, 진보네트워크센터
문의: 오픈넷 사무국 02-581-1643, [email protected]
6월 28일 헌법재판소는 실시간 위치추적과 기지국 수사 남용의 근거가 되어 왔던 통신비밀보호법 제13조가 헌법에 위반된다고 하면서, 2020. 3. 31.까지 개정할 것을 명하는 헌법불합치 결정을 내렸다. 사단법인 오픈넷은 수사기관의 무분별한 통신수사 남용 관행에 제동을 건 이번 헌법불합치 결정을 크게 환영하며, 이러한 시대적 흐름에 역행하는 최근 대법원의 통신자료 제공요청서 제출명령 재항고 기각 결정에 대해 유감을 표시하는 바이다.
현행 통신비밀보호법 제13조는 검사 또는 사법경찰관이 수사를 위하여 필요한 경우 이통사 등 전기통신사업자에게 기지국이나 휴대폰의 실시간 위치추적자료 등을 포함하는 통신사실 확인자료를 요청할 수 있게 하고 있다. 헌재는 동 조항이 정보주체의 개인정보자기결정권과 통신의 자유를 과잉금지 원칙에 반하여 침해하고 있다고 판단했다. 그 이유로는 “① 수사기관은 위치정보 추적자료를 통해 특정 시간대 정보주체의 위치 및 이동상황에 대한 정보를 취득할 수 있으므로, 위치정보 추적자료는 충분한 보호가 필요한 민감한 정보에 해당되는 점, ② 그럼에도 이 사건 요청조항은 수사기관의 광범위한 위치정보 추적자료 제공요청을 허용하여 정보주체의 기본권을 과도하게 제한하고 있는 점, ③ 위치정보 추적자료의 제공요청과 관련하여서는 실시간 위치추적 또는 불특정 다수에 대한 위치추적의 경우 보충성 요건을 추가하거나, 대상범죄의 경중에 따라 보충성 요건을 차등적으로 적용함으로써 수사에 지장을 초래하지 않으면서도 정보주체의 기본권을 덜 침해하는 수단이 존재하는 점, ④ 수사기관의 위치정보 추적자료 제공요청에 대해 법원의 허가를 거치도록 규정하고 있으나 ‘수사의 필요성’만을 그 요건으로 하고 있어 절차적 통제마저도 제대로 이루어지기 어려운 현실인 점” 등을 들었다.
헌재는 또한 통신사실 확인자료 제공의 통지에 대해 규정하고 있는 제13조의3에 대해서도 수사가 장기간 진행되거나 기소중지결정이 있는 경우에는 정보주체에게 통지할 의무를 규정하지 아니하고, 그 밖의 경우에 그 제공사유가 통지되지 아니하며, 수사목적을 달성한 이후 해당 자료가 파기되었는지 여부도 확인할 수 없게 되어 있어, 정보주체로서는 위치정보 추적자료와 관련된 수사기관의 권한 남용에 대해 적절한 대응을 할 수 없게 되어 있어 헌법상 적법절차 원칙에 위배된다고 판단했다. 이 조항에 대해서도 헌법불합치 결정을 내리고 2020. 3. 31.까지 개정을 명하였다. 이와 관련하여 오픈넷은 감청 및 통신사실확인자료 취득에 대한 당사자 통지가 기소 이후 시점 등으로 지연되는 현행 조항을 개정하는 안을 국회에 제출한 바 있다.
이번 결정의 가장 중요한 의의는 통신사실 확인자료가 충분한 보호가 필요한 민감한 정보에 해당됨을 명확히 한 부분이다. 스마트폰 등으로 이동통신이나 인터넷을 이용할 때 당연히 발생하는 통신사실 확인자료는 과거에는 통신내용보다는 덜 민감한 정보로 상대적으로 보호를 적게 받는 것이 당연시 되어 왔다. 하지만 정보통신사회에서 실시간 위치정보 등 통신사실 확인자료는 제3자에 의하여 광범위하게 수집·보관·처리·이용되고 있으며 다른 정보와의 결합 및 분석을 통해 한 개인을 프로파일링하고 통신내용에서 보다 더 많은 사실들을 알아내는 것이 가능해졌다. 이런 현실에서 비내용적 통신정보에 대한 보호 강화는 시대적 요청이었다.
이러한 헌재의 입장과 달리 6월 22일 대법원은 오픈넷이 영장 없이 시민들의 개인정보를 취득한 수사기관을 상대로 진행중인 국가배상 청구 소송에서 수사기관의 통신자료 제공요청서를 제출하라는 서울중앙지방법원의 문서제출명령을 취소하는 재항고 기각 결정을 내렸다. 전기통신사업법 제83조 제3항에서 규정하고 있는 통신자료 제공 제도는 법률상 법원의 통제절차나 통지 조항이 아예 없어 통신사실 확인자료 제공 제도보다 훨씬 위헌적이다. 정보주체는 자신의 개인정보가 수사기관에 왜 제공되었는지 알 길이 전혀 없는 것이다. 최근 수원지방법원 성남지원에서는 KT 이용자에게 KT가 수사기관으로부터 받은 통신자료 제공요청서를 공개하라는 판결을 내리기도 했다. 이런 상황에서 대법원의 재항고 기각 결정은 정보주체의 권리 보호 강화라는 시대적 요청에 역행하는 것으로 비난받아야 마땅하다.
국가의 무분별한 통신수사 남용에 대해 엄중히 경고한 이번 결정이 통신수사 관련 법제 개선 의무를 지고 있는 국회의 조속한 입법 노력을 이끌어내고 현재 진행중인 통신수사 관련 사건에서 법원이 올바른 사법적 판단을 내리는 계기가 되기를 간절히 희망한다.
2018년 7월 3일
사단법인 오픈넷
문의: 오픈넷 02-581-1643, master@op
오늘(8/30) 헌법재판소는 인터넷회선을 통해 오가는 모든 정보를 포괄적으로 감청하는 소위 ‘패킷감청’이 수집하는 정보가 광범위하고 권한남용의 위험성이 매우 높음에도 불구하고 기본권 침해를 방지할 수 있는 통제장치도 없이 허용하는 것이 헌법에 합치되지 않는다고 결정했다. 2011년 제기한 첫번째 패킷감청 헌법소원은 5년 가까이 심리가 미뤄지는 사이 청구인이 사망하여 심판절차가 종료되었고, 2016년 3월 다른 피해자가 다시 헌법소원을 제기하고서도 2년 반만이다. 헌법재판소의 판단이 늦어지는 동안 패킷감청은 사법기관의 실질적 통제 없이 비밀의 장막 뒤에서 국가정보원에 의해 무차별적으로 행해졌고, 기본권 침해가 오랫동안 반복되었다. 늦었지만 이제라도 패킷감청의 위헌성을 명확하게 인정한 것은 당연한 결과이다. 국가정보원은 그 동안 통제 없이 패킷감청을 남용해온 행태를 반성하고, 무분별한 패킷감청을 중단해야 한다. 국정원감시네트워크는 이번 결정을 계기로 국가정보원이 국회와 사법기관의 통제 속에 기본권을 보장하는 기관으로 환골탈태하길 촉구한다.
패킷감청은 전송 중인 패킷 그 자체로는 내용을 확인할 수 없기 때문에 일단 회선을 통해 오가는 패킷을 모두 수집하여 국가정보원이 자신의 서버에서 재조합한 후에야 내용을 확인한다. 따라서 감청대상자와 동일한 회선을 이용하는 불특정 다수의 통신내용도 수사기관이 수집, 저장하게 되고, 회선을 통해 오가는 정보가 실제 감청사유와 관련된 것인지 불문하고 일단 광범위하게 모든 통신내용을 감청할 수밖에 없다. 더욱이 인터넷을 통해 삶의 대부분이 영위되는 현실에서 이메일, 메신저를 통한 의사소통 뿐 아니라 뉴스검색, 인터넷쇼핑, 영화감상 등 사생활 전반이 수사기관에 의해 파악될 수 있다. 이 사건 대리인으로 공개변론을 수행한 참여연대 공익법센터는 패킷감청이 기존의 통신감청과는 질적으로 다른 위험성을 지녔다는 점을 공개변론 과정에서 특히 강조한 바 있다.
오늘 헌법재판소는 패킷감청이 지닌 이러한 특징에 주목하여 실제 집행과정에서 수사기관의 권한남용과 사생활 침해의 위험성이 매우 높다고 보았다. 법원의 허가범위를 넘어 수사기관이 취득하는 자료가 무한히 확대될 가능성이 농후하므로 기본권 침해를 최소화하기 위한 감독 내지 통제장치가 강하게 요구됨에도, 별다른 통제장치를 마련하지 않은 것이 위헌이라는 것이다. 실제로 국가정보원의 감청집행과정을 외부에서 조금이라도 알 수 있거나 통제할 방법은 없었다. 수개월에서 길게는 수년에 걸친 패킷감청을 하고도 감청대상자로부터 어떤 내용을 수집했는지, 어떻게 수사에 활용했는지 재판과정에서도 드러나지 않았으며, 관련된 서류가 제대로 만들어지거나 보관되지도 않았다. 이제 헌법재판소 결정에 따라 통신비밀보호법 개정을 통해 충분하고 엄격한 통제장치가 마련되어야 할 것이다.
오늘 헌법재판소는 패킷감청의 근거규정으로 활용되고 있는 통신비밀보호법 제5조 제2항에 대해서만 위헌으로 결정했다. 실제 청구인에 대한 패킷감청 집행행위에 대해 실질적 판단을 하지 않은 부분은 아쉽다. 청구인에 대해 행해진 패킷감청은 통제절차가 미흡하다는 문제점 뿐 아니라, 감청대상자가 아닌 제3자에 대해서까지 패킷감청을 집행하였다는 점, 무려 6회에 걸쳐 12개월간이나 장기간 감청을 하여 사실상 범죄수사가 아닌 사찰행위였다는 점에서 별도로 주목할 위헌성이 있었기 때문이다. 통신비밀보호법을 개정하는 과정에서, 집행과정을 통제하기 위한 제도적 장치를 마련함과 동시에 처음부터 인터넷 회선감청이라는 수사기법을 사용할 수 있는 요건을 더욱 엄격하게 제한하고, 감청기간 축소나 재허가 요건을 강화하는 등 장기간의 사찰로 이어지지 않게 통제하는 방안도 함께 모색되어야 한다.
과학기술의 발전에 따라 국민의 통신과 사생활의 비밀은 더욱 많은 위험에 노출되고 있다. 앞으로도 또 어떤 수사기법이 개발될 지 모른다. 그러나 기술적으로 가능하다고 해서 규범적으로 허용해야 하는 것은 아니다. 기술의 한계가 아니라 항상 헌법과 법률의 테두리 내에서 기술이 활용되어야 하고 그 과정은 엄격한 절차를 따라야 한다. 민주적으로 통제되지 않는 기술과 권력의 만남은 국민의 기본권을 침해할 위험을 항상 내포하고 있기 때문이다. 국정원감시네트워크는 앞으로도 국가정보원을 비롯한 국가권력기관의 권한남용을 감시하고 통제하기 위한 노력을 계속해나갈 것이다.
| 2015년 7월6일 이탈리아 보안업체 ‘해킹팀’의 내부자료가 유출돼 인터넷에 공개된 후 우리나라의 국가정보원도 이 업체로부터 감청프로그램을 구입해 사용했다는 사실이 확인되면서 파장이 확산되고 있습니다. 기술적으로 복잡한 내용도 많고 확인되지 않은 채 유통되는 정보도 많습니다. 이해를 돕기 위해 몇가지 사항에 대해 문답식으로 풀어봤습니다. 앞으로 궁금한 점에 대해 질문을 주시면 취재를 통해 함께 답을 찾아나가도록 하겠습니다. |
Q.국정원이 구입, 운용한 해킹팀의 RCS에서 ‘타깃 20개’란 어떤 의미인가? 국정원장은 20명 분의 해킹프로그램이라고 주장한다.
국정원이 이탈리아 해킹팀으로부터 도입해서 운용한 RCS 프로그램의 타깃(target)은 20개다. 이는 동시에 최대한 20개까지 감시가 가능하다는 의미다(해당항목으로 이동).
국정원장의 해명은 해킹을 20명만 할 수 있다는 것처럼 들리지만 실제는 동시에 감시가 가능한 것이 20명이다. 실제 연 감시 대상은 훨씬 많을 수 있다는 것이다.
이탈리아 해킹팀이 나나테크에 보낸 제안서에서 설명하는 타깃에 대한 개념도 그렇다.
예를 들어 모니터링하고 있는 타깃 20개 가운데 더 이상 감시할 필요가 없는 타깃 5개를 삭제하면 새로운 타깃 5개에 추가로 스파이웨어를 설치해 다시 20개까지 모니터링 할 수 있다는 뜻이다. 이렇게 될 경우 국정원이 해킹한 타깃은 모두 25개가 되지만 동시 모니터링 하고 있는 타깃은 20개가 된다.
Q. 동시 감시 대상이 20개라는 것은 예를 들어 국정원이 감시가 필요한 대상 100개를 미리 감염시켜 놓은 뒤에 필요에 따라 감시 대상 20개 안에 넣었다 뺐다 할 수 있다는 것인가?
그렇다고 보기는 힘들다. 국정원 관리자와 해킹팀이 2014년 7월7일 주고받은 메일을 보자. 에이전트는 휴대폰이나 PC 등의 목표물에 설치해 해당 기기에서 정보를 빼내오는 해킹용 스파이웨어를 말한다.
|
국정원: |
질의 응답은 다음날인 7월8일 이메일로 이어진다.
|
국정원: |
(※RCS에는 여러 모듈(기능의 작동단위)이 있는데 기능에 따라 CALL 모듈, CHAT 모듈, PHOTO 모듈 등이 있다. CALL 모듈을 작동시키면 CALL을 감시할 수 있고 CHAT 모듈을 작동시키면 CHAT을 가로챌 수 있다.)
간단히 정리하면 예를 들어 타깃 100개를 한꺼번에 해킹해 놓고서 필요한 것들을 골라서 그 때 그 때 20개 안에 넣었다 뺐다 바꿔가면서 감시하는 것은 불가능하다는 말이다.
Q.그렇다면 이미 20개를 가득 채워서 동시에 모니터링을 하고 있는 상태에서 다른 1개의 타깃에 추가로 스파이웨어가 설치된다면 어떤 일이 벌어질까?
실제로 다른 나라의 고객이 해킹딤에 질문했다. 30개 타깃에 대한 라이선스를 갖고 있고 현재 30개를 동시에 감시하고 있는데 만약 3개월 전에 감염파일을 담아 보낸 이메일을 감시 대상이 이제서야 열어서 감염될 경우 어떻게 되냐는 것이다.
이럴 경우 31번째 타깃은 대기열(queue)에 위치하게 된다고 해킹팀은 답한다. 살아만 있을 뿐 자료를 빼오는데는 써먹을 수는 없는 상태라는 것이다. 따라서 라이선스 1개를 추가로 구입하거나 아니면 기존에 감시중인 타깃 하나를 제거해야 31번째 타깃의 에이전트가 활성된다는게 해킹팀의 설명이다.(▷관련 메일)
국정원도 비슷한 상황에 처한 적이 있다. 2013년 7월29일에 오간 이메일들(TICKET ID:!SMZ-100-78952)을 보면 “최근 타깃 3개가 감염된 것을 알게 돼서 기존 타깃 3개를 삭제했다. 그런데도 (감염된 타깃이) 대기열에서 시스템으로 들어오지 않고 대시보드에 추가할 수도 없다”면서 “3개의 공간이 있는데도 감염된 에이전트 2개가 20시간째 대기열에 머물러 있다”고 질문한다.
당시 국정원이 문제를 설명하면서 보낸 RCS 콘솔의 스크린샷이다.
▲ 빨간색 사각형이 국정원 직원이 직접 표시한 부분이다. 20개 타깃 가운데 3개의 여유가 있음을 보여준다.
스크린샷 제일 상단에 있는 RCS:DB 항목에서 상태가 ‘2connections’ 라고 돼 있는 부분이 대기열에 있는 타깃 2개를 말하는 것으로 보인다. 에이전트가 17/20로 3개의 여유분이 있으니 바로 시스템과 동기화돼서 감시 가능 상태에 들어와야 하는데 여전히 대기열에 머물러 있는 상황이다.
이 문제는 결국 국정원이 해킹팀의 조언대로 콜렉터를 다시 부팅하면서 해결이 된다.(▷관련 이메일)
Q.그렇다면 국정원이 천 명, 만 명의 타깃을 감염시켜 대기열에 위치시켜 놓은 뒤에, 20개씩 차례대로 동시 감시 대상으로 올리면 이론적으로는 감염시켜놓은 모든 타깃을 숫자 제한없이 감시할 수 있다는 말 아닌가?
이론적으로는 가능하다. 하지만 실제 해킹팀 RCS 운영 상황으로 볼 때 현실적으는 어렵다. 먼저 앞에서 국정원이 언급했던 대시보드가 무엇인지 보자.
▲ 2012년, 다른 나라의 고객이 해킹팀에 보낸 대시보드 스크린샷. 감염된 PC와 휴대폰별로 작동시킬 수 있는 항목이 한 눈에 보인다.
타깃을 대시보드에 추가한다는 것은 기능별로 타깃을 살펴보겠다는 의미다. 사진 왼쪽에 감염된 기기들이 나오고 각각 제공되는 기능이 일목요연하게 표시된다. 휴대폰의 경우 일정,통화,채팅,메모리,이메일,마이크,위치 등에 대한 기능이 제공됨을 알 수 있다.
대시보드에 감염대상을 추가하고 나면 각종 작업을 수행할 수 있다. 다음은 작업 명령을 내리는 화면이다.
감시 중인 스마트폰의 스크린샷을 찍어 전송받을 수도 있고 마이크를 작동시켜 녹음을 할 수 도 있다.
RCS는 이렇게 필요한 타깃의 기기 특성과 운영체제, 사용프로그램에 맞춰 취약점을 공격하고 일단 스파이웨어를 설치한 뒤에는 타깃의 활동 하나 하나를 면밀히 모니터링하는 시스템이다. 목표물의 음성 통화나 채팅, 사진 등을 감시하다가 필요한 때 자료를 빼오는 시스템이다.
또 목표물을 해킹하기 위해서는 취약점 공격에 필요한 URL이나 감염파일이 필요한데, 국정원이 직접 만드는 게 아니라 해킹팀에 요청해서 받아야 한다. 뉴스타파가 분석한 결과 지난 2013년 5월부터 2년 동안 국정원이 해킹팀으로 받은 URL이나 감염파일은 모두 320여 개였다. 이것이 모두 성공했다 하더라도 목표물은 2년 동안 320여 개가 되지만 이 가운데는 한 번 실패했다 다시 요청받은 것도 있어 실제 목표물은 320개 보다 적을 것으로 보인다.
또 국정원은 주로 해킹을 위해 문자나 이메일로 스파이웨어가 심어져 있는 URL을 보내는 방식을 사용했는데 이 경우 URL은 한 개의 목표물만 감염시킬 수 있기 때문에 다수의 목표물에 문자나 이메일을 발송해 다수를 한꺼번에 감염시키는 것이 불가능하다.
이런 여러가지 이유로 동시 감시대상이 20개라 하더라도 사실상 무제한으로 감시할 수 있다는 것은 이론적으로는 가능하지만 RCS의 운영특성으로 볼 때 현실적으로는 설득력이 없어 보인다. 물론 이것은 해킹팀 RCS에 한정된 얘기고, 국정원이 다른 해킹 프로그램들을 운용해 더 많은 목표물을 감시하고 있는지 여부는 현재로선 확인된 바가 없다.
노골적으로 외도를 권하는 기혼 남녀 만남 중개 사이트인 “애슐리 매디슨”, 여기에 가입한 한국인들은 얼마나 될까, 또 그들은 누구일까?
최근 미국과 영국, 캐나다 등 영미권 국가들에서는 애슐리 매디슨의 가입자 정보가 해킹으로 유출돼 큰 이슈가 됐다. 뉴스타파는 이 데이터를 입수해 한국인 가입자들과 관련한 정보를 분석했다. 그리고 분석 결과 이 사안이 단순한 말초적 호기심을 충족시키는 것을 넘어, 한국 사회의 한 단면을 보여주고 더 나아가 공적 감시의 영역에도 해당한다고 판단했다. 이러한 판단에 입각해 뉴스타파 제작진은 여러 차례 진지한 논의 끝에 보도를 결정했다.
분석 결과, 가입 당시 자신의 국가를 한국이라고 표시한 사람은 무려 66만 7천 2백 96명이었다. 가입자 숫자로는 전체 53개 국가 가운데 9위, 인구 대비 가입자 비율로는 17위였다.
| 국가 | 가입자 숫자 (명) | 인구 대비 가입자 비율 |
|---|---|---|
| 미국 | 17,608,441 | 5.52% |
| 브라질 | 3,228,430 | 1.61% |
| 캐나다 | 2,414,185 | 6.87% |
| 영국 | 1,302,054 | 2.03% |
| 오스트레일리아 | 1,221,574 | 5.28% |
| 스페인 | 1,149,973 | 2.46% |
| 멕시코 | 1,033,718 | 0.85% |
| 타이완 | 767,757 | 3.29% |
| 한국 | 667,296 | 1.33% |
| 이탈리아 | 597,810 | 1.00% |
| 인도 | 491,558 | 0.04% |
| 콜롬비아 | 484,718 | 1.00% |
| 아르헨티나 | 477,403 | 1.15% |
| 칠레 | 476,832 | 2.71% |
| 일본 | 468,545 | 0.37% |
애슐리 매디슨은 지난해 한국 서비스를 시작했지만 두 달도 채 지나지 않아 사이트 폐쇄를 당했고 올해 초 간통죄 위헌 결정이 나자 4월에 서비스를 재개했다. 당시 애슐리 매디슨은 대규모 기자회견을 열 정도로 한국 시장에 대한 기대감을 숨기지 않았다. 그리고 불과 석달 만에 가입자 정보가 유출됐는데, 한국 가입자는 이미 60만 명을 돌파한 것이다. 짧은 영업 기간을 감안하면 결코 적다고 할 수 없는 숫자다.
한국보다 인구가 두 배 이상 많은 일본의 경우, 이번에 유출된 데이터를 보면 전체 가입자 수도 한국보다 훨씬 적었고, 인구 대비 가입자 비율은 한국의 4분의 1 수준이었다.
뉴스타파가 입수한 파일에는, 가입자의 이메일 계정과 닉네임, 최종 이메일 답변 시점, 접속 위치 등의 정보가 들어있었다. 우선, go.kr과 korea.kr 도메인을 가진 공무원들의 이메일 계정이 얼마나 있는지 확인해 봤다. 확인 결과 go.kr 도메인을 가진 계정이 67건, korea.kr을 가진 계정이 169건이었다. (이메일을 보냈더니 40통이 반송되었으므로 유효한 메일 주소는129건으로 추정된다. 뉴스타파는 각 정부 기관에 해당 메일이 유효한 메일인지를 묻는 정보 공개를 청구했으며 답을 기다리고 있다.)
go.kr 도메인을 가진 이메일 가운데는 경기도청 소속이 12건으로 가장 많았고, 서울시청 3건, 서울의 각 구청이 8건 등 지자체 소속 공무원들이 많았다. police.go.kr , 즉 경찰청 도메인의 이메일 계정도 4건 나왔다. scourt.go.kr 도메인, 즉 법원 직원의 업무용 메일 주소는 1개, spo.go.kr 도메인, 즉 검찰 직원의 업무용 메일 주소는 3개 포함돼 있었다. 특히 법원과 검찰 직원의 이메일 계정은 모두 실제로 존재하는 계정으로 확인됐다. 청와대 도메인을 가진 이메일도 2개 발견됐지만 하나는 [email protected], 다른 하나는 [email protected] 이어서 정상적인 개인 사용자의 계정으로 보기는 어려웠다. 이밖에 각 시도의 교육청, 소방서, 각종 공공 기관들의 도메인을 가진 이메일 계정도 다수 발견됐다.
ac.kr 도메인을 가진 계정, 즉 대학교와 연관된 계정은 240개나 나왔다. 상당수는 학생이나 대학원생, 대학교 교직원의 이메일 계정이었고 교수로 확인된 계정은 23개였다. 뉴스타파가 이 교수들에게 이메일을 통해 질의한 결과 이 가운데 3명은 가입 사실을 인정했고, 2명은 메일 주소 도용을 주장했으며 나머지는 아무런 응답도 하지 않았다.
공영방송 kbs의 경우, kbs.co.kr 도메인을 가진 메일 주소가 8개 발견됐으며 이 가운데 4명은 실제 kbs의 전현직 직원으로 확인됐다. 이 가운데 3명은 취재나 프로그램 제작 업무에 종사하는 사람들로, 모두 취재나 프로그램 제작 때문에 가입했다고 말했다.
개신교 목사의 이메일 역시 2개가 발견됐다. 그러나 그 가운데 하나는 가입자의 접속 위치가 미국으로 되어 있었다. 나머지 한 명의 목사는 “시대적인 경향과 성 문화를 알기 위해 가입했으며 이것은 설교의 소재가 될 수 있다. 한 번 가입해 둘러보았을 뿐 그 뒤로는 한 번도 접속을 하지 않았다”고 해명했다.
대기업 직원들의 이메일 역시 다수 발견됐다. 우리나라 10대 기업의 도메인을 가진 이메일 계정만 추려봤더니 모두 114건이 나왔다. 기업별로는 삼성이 47건으로 가장 많았고 sk가 33건, 두산이 14건으로 뒤를 이었다. 사기업 직원들의 경우 사생활임을 고려해 이메일을 보내거나 메일의 유효성을 확인하는 작업은 별도로 하지 않았다. 따라서 이 가운데 몇 개가 유효한 계정인지는 알 수 없다.
| 기업명 | 도메인 명 | 이메일 계정 숫자 |
|---|---|---|
| 삼성 | @samsung.com | 47 |
| 현대차 | @hyundai.com | 9 |
| SK | @sk.com | 33 |
| LG | @lg.com | 0 |
| 롯데 | @lotte.com | 0 |
| 현대중공업 | @hhi.com | 1 |
| GS | @gs.com | 7 |
| 한진 | @hanjin.co.kr | 2 |
| 한화 | @hanwha.co.kr | 1 |
| 두산 | @doosan.com | 14 |
성적 자기 결정권을 가진 성인이 애슐리 매디슨에 가입하거나 혹은 더 나아가 이를 외도의 수단으로 활용한다고 해도 제3자가 이에 대해 왈가왈부할 수는 없다.특히 이번 사건으로 정보가 유출된 당사자들은 불법 해킹으로 인한 개인 정보 유출의 피해자이기도 하다. 뉴스타파 취재진은 이 점에 깊이 유의해 수집한 이메일을 철저히 관리했으며 당사자 취재 범위 역시 공적 영역으로만 한정했다. 공무원이나 공기업의 직원, 국립대학교의 교직원이 업무용 메일로 이같은 사이트에 가입하거나 활동을 한 것으로 보이는 경우, 또 개인 메일로 가입했다 하더라도 선출직이나 고위 공직자인 경우, 또한 높은 도덕성이 요구되는 종교인이 가입한 경우가 바로 그런 경우였다.
뉴스타파가 애슐리 매디슨 한국인 가입자들의 이메일 계정을 분석한 결과, 현직 판사와 검사의 이메일도 가입된 것으로 확인됐다. 또 서울시 의원과 정부부처 공무원 등 수백명의 공직자 이메일 계정도 발견됐다.
뉴스타파는 애슐리 매디슨에 가입하거나 활동한 것은 성인의 사생활에 해당하는 부분이지만, 엄격한 도덕성이 요구되는 고위공직자나 선출직 공직자의 경우에는 의혹에 대해 최소한의 해명을 들어야 할 필요가 있다고 판단했다.
때문에 조심스럽게 당사자들과 접촉해 해명을 들었다. 취재진이 접촉한 공직자들은 해당 사이트에 가입한 사실 자체를 부인하거나, 가입했어도 실질적 활동은 한 적이 없다고 말했다.
개인 이메일 계정으로 애슐리 매디슨에 가입된 것으로 확인된 현직 판사와 검사 등 법조인은 14명이었다. 이 가운데 판사 1명, 검사 2명, 대형 로펌 소속 변호사는 11명이었다.
지방법원에 근무하고 있는 한 판사는 취재진과의 전화통화에서 “애슐리 매디슨이라는 사이트를 언론을 통해 접해서 알고는 있었지만, 사이트에 가입한 기억은 없다”며 “만약 가입을 했다면 호기심에서 했을테지만 정확한 기억이 나지 않는다”고 말했다.
정부 부처에 파견 근무 중인 한 검사는 이메일을 통해 자신은 이 사이트에 가입한 사실 자체가 없으며 자신의 이메일 계정이 도용된 것으로 의심된다고 답변했다.특히 이 검사는 방송 직전까지 취재진에게 수차례 이메일을 보내 관련 보도 자체를 하지 말 것을 요구하기도 했다.
이 검사는 “혹시나 보도가 나가더라도 ‘검사’나 ‘검찰 직원’ 등의 직종 자체를 절대 언급하지 말라”며 “강력한 경고에도 특정 직업이 언급되면 법적 책임을 져야함을 엄중 경고”한다고 말했다.
솔직한 심정으로 무슨 미친 개한테 물린 심정입니다
…관련 보도를 실행하지 말 것을 강력히 요구합니다.당신이 ‘검찰’ 또는 ‘검사’를 언급하는 것 자체만으로도,
설사 명의도용이라 주장한다는 언급을 덧붙인다 하더라도…
심각한 명예훼손 결과를 초래할 것이 분명한
특정 직업명(검사, 검찰)을 언급하면 절대 안됨.– 해당 검사 이메일 내용 중 발췌
지방법원에 근무하는 또 다른 검사의 경우에는 현재 부재 중으로 연락이 닿지 않아 입장을 들을 수 없었다.이 검사는 취재진의 이메일 문의에도 회신하지 않았다.
뉴스타파가 확인한 애슐리 매디슨 가입자 명단에는 또, 서울시 의원 3명의 이메일 계정도 포함돼 있었다.
해당 서울시 의원들은 모두 “가입한 사실이 없으며 이메일 계정이 도용된 것 같다”고 말했고,이 중 한 의원은 “가입한 적도 없는 사이트에서 ‘어떤 여성이 찾고 있다’며 계속 이상한 이메일을 보내오더라, 그래서 모두 스팸처리했다”고 밝혔다.
실제 애슐리 매디슨은 가입 당시 별도의 이메일 인증절차가 없다. 가짜 메일을 만들어 가입할 수도 있다는 것이다. 하지만 이 사이트는 휴대폰 대신 오로지 ‘이메일’을 통해서 만 이성과 연락을 주고 받도록 돼 있다. 즉, 도용한 이메일로는 이성과 아무런 연락을 주고받을 수 없다는 뜻이다. 따라서 만약 이메일을 도용당한 것 같다는 공직자들의 해명이 맞다면,누가 어떤 목적으로 이들 공직자들의 이메일을 도용했는지 의문이 남는다.
뉴스타파가 확인한 이메일 계정 가운데는 ‘go.kr’, ‘korea.kr’등 공무원들의 공식 업무용 이메일 계정도 236개나 있었다. 뉴스타파는 이들에게 일일이 이메일을 보내 가입 경위를 물었다.
저희는 모든 성인들이 성적 자기 결정권을 갖고 있다는 것을 믿고 있습니다.
선생님을 도덕적으로 비난할 의도에서 이런 메일을 드린 것은 아닙니다.다만 공적인 업무에 쓰여야 할 이메일 주소를 불륜 등 사적인 만남을 위해 사용하신 점은 사회적 비난의 소지가 있을 수 있다고 생각합니다.
– 뉴스타파가 업무용 계정이 확인된 공무원들에게 보낸 이메일 내용 중
236명 가운데 25명으로부터 답장이 왔다. 이중 6명은 이메일 계정이 도용됐다고 주장했지만,나머지 19명은 가입 사실을 시인했다.다만 모두 실질적 활동을 한 적은 없다고 답했다.지방법원에서 근무하는 한 공무원은 “단순한 호기심으로, 일회성으로 가입만 했을 뿐 지금은 들어가지도 않고 어떤 활동을 한 것도 없다”고 말했다.
그러나 사적인 활동에 업무용 이메일을 사용한 것에 대해서는 대부분 잘못을 인정했다.
저는 아들과 딸을 둔 아이들의 아버지고, 한 여자의 남편입니다.
부디 제 사정과 사실관계를 정확히 파악하시어
가정과 사회에 부끄러운 가장,몰지각한 공무원이라는 오명을 얻지 않도록
도와주시기 바랍니다.
– ㅇㅇ도청 공무원이 보내온 이메일 내용 중
공무원들이 업무용 이메일로 애슐리 매디슨에 가입했다고 해서 범법행위가 되지는 않는다. 공직자윤리위원회는 “국가공무원법상 공무원은 업무시간과 상관없이 품위를 유지해야하지만,가입 자체만으로는 문제가 되지 않고 실질적으로 어떤 행위를 한 것이 드러난다면 징계대상이 된다”고 설명했다.
뉴스타파가 접촉한 애슐리 매디슨 가입자 가운데 돈을 내고 ‘실질적’ 활동을 했다고 인정한 사람은 단 한 명에 불과했다.그러나 애슐리 매디슨은 올해만 한국에서 83억원의 매출을 올렸고,5년 내 전세계 3위 수준의 매출을 달성할 것으로 자체 전망했다.
참여연대 공익법센터(소장 양홍석 변호사)는 오늘(10/1) 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 「 그 많은 내 개인정보는 누가 다 가져갔을까 - “2007-2017 개인정보수난사 worst 44” 」를 발표했다.
최근 정보주체의 동의 없는 개인정보의 이용과 결합 ·유통을 활성화하려는 정부의 정책방향이 프라이버시 침해 위험을 키운다는 문제제기에 대해 정부는 안전하게 활용하겠다는 것만을 강조하고 있다. 참여연대 공익법센터는 지난 10여년간 한국사회에서 개인정보가 얼마나 소홀히 다뤄져왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 살펴보고, 정부의 개인정보 정책방향에 대한 시사점을 얻기 위해 이번 이슈리포트를 기획했다.
2007년부터 2017년 사이 개인정보 침해사례 44건을 분석한 결과, 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다. 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생하였다. 침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용․판매 9건, 관리 소홀로 인한 노출 3건을 분석하였는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.
최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데, 이러한 위법행위는 비영리재단이나 공공기관에서까지 행해진 것으로 드러났다. 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하였고, 국민의 의료정보를 엄격히 보호해야 할 건강보험심사평가원은 2017년까지 6400만명 분의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.
반면 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮은 것으로 나타났다. 대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다. 또한 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다. 법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고, 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 나타났다. 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장했다.
참여연대는 지난 10년의 사례를 통해 볼 때, 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면, 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 강조했다. 또한 빅데이터의 혜택을 강조하며 개인정보의 수집, 활용을 확대하는 방향으로만 정책을 추진할 것이 아니라, 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다고 주장했다. 이를 위해서는 ▷개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▷정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▷ 개인정보 보호를 위한 법제 및 감독기구 개선 ▷ 권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.
최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과되었고, 개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 예정이다. 참여연대 공익법센터는 무분별한 개인정보 규제완화의 위험성과 사회적 공론화 부재를 계속 지적하며, 정보주체의 권리를 보호하기 위한 활동을 지속할 예정이다.
▶︎ 보도자료 [원문보기/다운로드]
▶︎ 이슈리포트 "그 많은 내 개인정보는 누가 다 가져갔을까" - 2007-2017 개인정보수난사 worst 44 [원문보기/다운로드]
유엔 시민적 정치적 권리규약 위원회(UN Human Rights Committee, 이하 유엔 자유권 위원회)가 지난 11월 5일(현지 시각) 대한민국의 시민적 정치적 권리 전반에 대한 심의 결과인 최종 권고문(concluding observation)을 발표했다. 참여연대 공익법센터(소장 박경신 교수, 고려대)는 이 중 특히 1) 수사기관의 통신자료 수집에 영장주의 도입 2) 이른바‘기지국 수사’에 대한 보호장치 마련 3) 진실적시 명예훼손죄( (형법 307조 1항, 소위“진실 명예훼손”)의 형사처벌 폐지 등 명예훼손죄의 비범죄화를 권고한 것에 주목한다. 참여연대는 대한민국 정부가 ‘시민적·정치적 권리에 관한 국제규약(자유권 규약)’에 가입한 당사국으로서 이번 유엔 자유권 위원회의 권고를 충실히 이행할 것을 촉구한다.
우선, 유엔 자유권 위원회는 전기통신사업법 제83조제3항에 따라 전기통신사업자에 대한 가입자 정보 요청이 수사목적이라는 포괄적 이유로 법원이 발부한 영장 없이 이루어지는 것에 대해 우려를 표했다. 또한 집회참가자들을 특정하기 위한 "기지국 수사"의 집행 및 이에 대한 불충분한 규제, 그리고 폭넓은 감청의 이용 특히 국정원에 의한 이용과 이에 대한 불충분한 규제에 대해서도 우려를 나타냈다.
유엔 자유권 위원회는 국가안보 목적의 감시를 포함한 모든 감시가 자유권규약에 부합하도록 필요한 법개정을 권고했다. 특히 전기통신서비스의 가입자정보는 법원이 발부한 영장을 제시할 때만 수사기관에 제공되도록 하고 국정원의 통신수사를 감독할 수 있는 절차를 마련해야 하며 ‘기지국수사’가 자의적으로 이루어지지 않도록 보호 장치를 강화할 것을 권고했다.
또한 유엔 자유권 위원회는 형사상 명예훼손이 정부 행정을 비판하고 기업이익에 반하는 사람들의 기소에 이용되는 빈도가 높아지고 있다는 사실에 우려를 표했다. 오로지 ‘공익을 위하여’란 사실이 입증되지 않으면 진실한 언사마저도 형사처벌될 수 있다는 점에 대해서도 우려했다.
유엔 자유권 위원회는 민법적 규제가 가능한 이상 명예훼손의 비형사화를 고려해야 하며, 형법의 적용은 가장 중한 사건들에 국한되어야 하고 자유형은 어떤 경우에도 적절한 형벌이 아님을 지적했다. 민주주의가 기능하기 위해 필요한 비판에 대해서 관용의 문화를 장려해야 함도 덧붙였다.
참여연대는 지난 9월 22일 대한민국 정부에 대한 유엔의 자유권 심사를 앞두고 “정보·수사기관이 전기통신사업자로부터 가입자정보를 영장 없이 제공받는 문제”와 “명예훼손죄의 비범죄화 문제”에 대해 보고서를 제출한 바 있다. 유엔 자유권 위원회는 대한민국 정부에게 2019년 11월까지 다음 국가 보고서를 제출할 것을 요구하였다. 따라서 정부는 다음 심의 때까지 법개정 등 필요한 조치를 성실히 이행해야 할 것이다.
한편, 국회에는 현재 수사기관의 통신자료수집에 영장주의 도입과 수집 이후 정보주체에게 통지의무화를 주요 내용으로 하는 <전기통신사업법> 개정안, <통신비밀보호법>개정안이 상임위에 제출되어 있다. 또한 진실적시 명예훼손 폐지를 담고 있는 <형법>개정안도 제출되어 있다. 국회가 19대 임기를 마치기 전에 이를 통과시킬 것을 촉구한다.
Human Rights Committee
자유권 위원회
Concluding observations on the fourth periodic report of the Republic of Korea
대한민국의 네 번째 정기 보고서에 관한 최종 견해
1. The Committee considered the fourth periodic report submitted by the Republic of Korea (CCPR/C/KOR/4) at its 3210th and 3211th meetings (CCPR/C/SR.3210 and CCPR/C/SR.3211), held on 22 and 23 October 2015. At its 3226th meeting (CCPR/C/SR.3226), held on 3 November 2015, it adopted the following concluding observations.
1. 위원회는 2015년 10월 22일과 23일에 열린 제3210차 및 3211차 회의(CCPR/C/SR.3210와 CCPR/C/SR.3211)에서 대한민국이 제출한 네 번째 보고서(CCPR/C/KOR/4)를 심의했다. 위원회는 2015년 11월 3일에 열린 제3226차 회의(CCPR/C/SR.3226)에서 다음과 같이 최종 견해를 채택했다.
(중략)
Monitoring, surveillance and interception of private communication
사적 통신에 대한 사찰, 감시, 및 감청
42. The Committee notes with concern that according to Article 83 (3) of the Telecommunications Business Act subscriber information may be requested without warrant from any telecommunications business operator for investigatory purposes. It is also concerned about the operation and insufficient regulation in practice of so-called “base-station” investigations to identify participants at assemblies, and about the extensive use and insufficient regulation in practice of wiretapping, in particular by the National Intelligence Service (arts.17 and 21).
42. 위원회는 전기통신사업법 제83조제3항에 따라 전기통신사업자에 대한 가입자정보 요청이 수사목적으로 영장없이 이루어지는 것에 대해 우려한다. 집회참가자들을 특정하기 위한 "기지국 수사"의 집행 및 이에 대한 불충분한 규제, 그리고 폭넓은 감청의 이용 특히 국정원에 의한 이용과 이에 대한 불충분한 규제에 대해서도 우려한다.
43. The State party should take the necessary legal amendments to ensure that any surveillance including for purposes of state security are compatible with the Covenant. It should inter alia ensure that subscriber information may be issued with a warrant only, introduce a mechanism to monitor the National Intelligence Service’s communication investigations, and increase the safeguards to prevent the arbitrary operation of so-called base-station investigations.
43. 당사국(대한민국)은 국가안보를 위한 감시를 포함한 모든 감시가 자유권규약에 부합하도록 보장하기 위해 필요한 법개정을 하여야 한다. 특히 가입자정보는 영장이 있을 때만 제공되도록 하고 국정원의 통신수사를 감독할 수 있는 장치를 마련해야 하며 기지국수사가 자의적으로 이루어지지 않도록 보호절차를 강화해야 한다.
Criminal defamation laws
형법 상의 명예훼손
46. The Committee is concerned about the increasing use of criminal defamation laws to prosecute persons who criticize government action and obstruct business interests, and of the harsh sentences, including lengthy prison sentences, attached to such legal provisions. It further notes with concern that even a statement which is true may be criminally prosecuted, except if this statement was made for the purpose of public interest alone (art. 19).
46. 위원회는 형사상 명예훼손이 정부의 행위를 비판하거나 기업 이익을 방해하는 사람들의 기소에 이용되는 빈도가 높아지고 있음에 우려하며, 장기징역형을 포함하는 가혹한 형량에 대해서도 우려한다. 또 진실인 언사 마저도 오로지 공익을 위하여 구사되지 않는 한 형사처벌될 수 있다는 점에 대해서도 우려한다.
47. The State party should consider decriminalizing defamation, given the existing prohibition in the Civil Act and should in any case restrict the application of criminal law to the most serious of cases, bearing in mind that imprisonment is never an appropriate penalty It should ensure that the defence of truth is not subjected to any further requirements. It should also promote a culture of tolerance regarding criticism, which is essential for a functioning democracy.
47. 당사국은 민법에 의한 규제가 가능한 이상 명예훼손의 비형사화를 고려해야 하며, 형법의 적용은 가장 중한 사건들에 국한되어야 하며 자유형은 어떤 경우에도 적절한 형벌이 아니다. 진실의 항변에는 또다른 조건이 추가되어서는 아니된다. 민주주의가 기능하기 위해 필요한 비판에 대한 관용의 문화를 장려해야 한다. (후략)
시민들의 의견
댓글 달기