스마트보안관은 사라졌지만 감시는 계속된다

지역

스마트보안관은 사라졌지만 감시는 계속된다

익명 (미확인) 님 | 월, 2015/11/16- 18:44

스마트보안관은 사라졌지만 감시는 계속된다

글 | 오픈넷

방통위가 청소년들을 유해정보에서 구해내겠다며 청소년들의 스마트폰에 배포한 스마트보안관이라는 모바일 앱이 있다. 방통위는 2013년부터 무려 이 앱을 위해 약 30억 원의 예산을 들였고 이통3사와 한국무선인터넷산업연합회(이하 MOIBA)가 함께 개발을 했다.

스마트보안관을 실행시키면 이 앱이 계속 스마트폰에 상주해있으면서 이용자, 즉 청소년이 스마트폰을 통해 하는 모든 행동이 모두 모니터링 되는 방식으로 작동한다. 주요 기능은 아래와 같다.

청소년에게 유해하다고 판단된 정보에 접근하는 것을 원천적으로 차단한다.
부모에게 청소년 자녀의 스마트폰 일평균 이용시간, 주 이용시간대, 주 이용정보 카테고리 등의 정보를 제공한다.
부모가 청소년 자녀의 스마트폰 이용을 통제한다. (시간별, 앱별 등)
스마트폰에 설치된 스마트보안관을 청소년이 임의로 삭제할 수 없게 한다.

스마트보안관 안내 배너

주요 기능만 봐도 애정이 과한 부모 세대가 청소년 세대를 스토킹하고 일거수 일투족을 감시하는 등 적극적으로 사생활 침해를 하는 느낌이 든다. 놀랍게도 방통위가 2015년 4월 16일부터 시행한 “전기통신사업법 시행령” 일부 개정령에 의하면 청소년에 판매하는 스마트폰에는 유해매체물을 차단할 수 있는 앱을 반드시 설치해야 했다. 이 법률상 의무를 충족할 수 있는 여러 앱이 있지만 방통위는 자신들이 개발한 스마트보안관 설치를 은근히 장려했고 이에 따라 아래와 같이 수십만명의 청소년의 스마트폰에 깔리게 되었다.

참고로 2015년 7월 이통사별 스마트보안관을 설치한 수는 다음과 같다.

SK텔레콤 – 57,217건
KT – 202,041건
LG유플러스 – 120,709건

심각한 보안 문제, 7개월 만에 서비스 중단

결론부터 말하면 2015년 11월 1일 방통위는 스마트보안관 앱·서비스를 중단한다고 발표했다. 실제로 스마트보안관 앱은 구글 플레이 스토어에서 삭제됐다. 방통위가 스마트보안관 서비스를 중단한 건 의무 사용을 강요한 이 서비스에 심각한 보안 문제를 끝내 해결하지 못했기 때문이라는 의견이 있다.

스마트보안관의 심각한 보안 결함을 발견한 것은 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩이다. 시티즌랩은 2015년 9월 20일 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱”이라는 보고서를 공개했다. (참고: 관련 오픈넷 보도자료)

"우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱" 보고서

이 보고서에는 스마트보안관의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과가 담겨있다. 감사는 보안감사 전문 회사인 큐어53(Cure53)과 함께 진행이 됐는데, 연구진은 스마트보안관_[1]을 이용하는 청소년과 부모의 프라이버시와 보안을 위헙하는 26건의 취약점이 있다고 밝혔다. 이 보안 취약점들을 이용하면 스마트보안관 계정을 무력화시키는 것은 물론이고 데이터 변조, 개인정보 절도 등 다양한 공격에 당할 수 있다는 것이다.

보고서에서 밝힌 문제점들을 요약하면 다음과 같다.

인증 문제: 정상적인 확인절차나 암호 없이도 계정의 등록과 관리가 가능한 문제점 존재
인프라 문제: 서버는 구식 프로그램을 이용하고 있고, 보안조치와 암호화가 업계 표준으로 구현되지 않음. 무작위 대입 공격에 대한 대책 없음
법적·정책적 함의: 스마트보안관의 설계 수준이 취약해서 MOIBA의 스마트보안관 약관과 개인정보정책에 맞지 않음. 또한 스마트보안관의 기능은 전기통신사업법령의 내용을 넘어서 프라이버시를 침해함

시티즌랩은 9월 20일 보고서를 공개하기 전 MOIBA에 이 내용을 공유하고 문제를 수정하도록 45일을 기다렸고 일부 취약점을 보완했다고 답변을 했으나 전체 취약점을 해결했는지 답변이 없어 보고서를 공개했다고 한다.

시티즌랩은 그후 MOIBA가 관련 개선을 하였는지 확인하기 위해 2015년 11월 1일 2차 감사를 한 결과를 발표했다. (참고: 관련 오픈넷 보도자료) 2차 감사는 1차 감사 때보다 보완이 됐다고 주장하는 최신 버전을 대상으로 했는데_[2] 일부 수정·보완이 이루어졌지만, 여전히 아래와 같은 심각한 문제점들이 남아있다고 했다.

공격자가 청소년의 휴대폰 번호를 알고 있다면 청소년의 생년월일, 휴대폰에 설치된 모든 앱의 목록, 모든 차단 규칙을 취득할 수 있다.
공격자는 여전히 청소년의 휴대폰의 차단 규칙이나 설정을 마음대로 변경할 수 있기 때문에 청소년이 휴대폰을 사용하지 못하도록 잠글 수 있다.
공격자는 여전히 스마트보안관 부모용의 비밀번호와 청소년의 계정과 연계된 부모의 휴대폰 번호를 찾아낼 수 있다.

이에 시티즌랩은 스마트보안관을 앱스토어에서 즉시 내리고, 이용자들은 사용을 즉시 중단할 것을 권고했다. 즉, 방통위는 시티즌랩이 중단 권고를 한 당일 바로 서비스를 중단한 것이다.

조선닷컴 기사에 따르면 방통위는 스마트보안관 중단 조치에 관해 “지난달 모든 이통사가 음란물 차단 앱을 무료로 보급하기 시작했기 때문에 플레이스토어에서 삭제했을 뿐”이라며 “문제와 관계없이 예정된 일정에 따른 조치”라고 밝혔다.

여기서 말한 이통사의 차단 앱이란 SK텔레콤의 “T청소년유해차단”, KT의 “올레 자녀폰 안심”, LG유플러스의 “U+ 자녀폰지킴이” 등을 말하는데, 이것들은 여전히 플레이 스토어에서 다운로드를 받아 실행할 수 있다.

계속되는 프라이버시 무시·자녀 감시들

따라서 문제는 여전히 남아있다. 정부가 아니더라도 이통사를 비롯한 여러 회사들이 유사한 기능의 앱을 계속해서 배포하고 서비스하고 있다. 이런 위험한 앱들이 시중에 나와 있는 가장 근본적인 이유는 일명 “청소년 스마트폰 감시법”이 이런 앱들의 설치를 강제하고 있기 때문이다.

개정된 전기통신사업법에는 이통사가 청소년과 계약을 할 경우 청소년 유해매체물과 음란정보를 차단할 수 있는 수단을 제공해야 한다고 되어 있고, 세부 방법·절차는 시행령에서 정하도록 되어 있다.

전기통신사업법 시행령 제37조의8 제2항

제1항에 따라 차단수단을 제공하는 경우에는 다음 각 호의 절차에 따른다.

1. 계약 체결 시

가. 청소년 및 법정대리인에 대한 차단수단의 종류와 내용 등의 고지

나. 차단수단의 설치 여부 확인

2. 계약 체결 후: 차단수단이 삭제되거나 차단수단이 15일 이상 작동하지 아니할 경우 매월 법정대리인에 대한 그 사실의 통지

(참고로 여기서 차단수단은 청소년유해정보차단 소프트웨어로서 시행령은 정부 배포 “스마트보안관” 등 앱의 형태로 되어 있는 수단을 전제하고 있다)

법에 이렇게 명시되어 있는 경우 정부가 아니더라도 누군가 반드시 청소년에게 유해정보를 차단하기 위한 서비스를 만들어야 한다. 기본적으로 이를 위해서는 많은 정보에 접근을 하고 모든 정보를 들여다봐야 하는데, 그 과정에서 청소년은 부모와 협상할 기회도 없이 부모의 상시감시 아래 놓이게 되는 프라이버시 침해가 발생하는 것은 자명하다.

또 법은 차단서비스만 제공하라고 했지만 차단서비스가 상시 작동하고 있는지 확인하기 위해서는 스마트폰 기기 전체에 대한 상시감시가 필요하고 이를 구현하기 위해서는 스마트보안관처럼 수십 억의 돈을 들여도 이용자들을 오히려 각종 보안 위협에 노출될 가능성도 여전하다.

또한 이 시행령은 이통사가 유해정보 차단 앱이 설치되었는지 확인할 수 있는 방법에 대해 명시하지 않고 있다. 그리고, 이통사를 통해 구입하지 않고, 스마트폰을 직접 구매하는 이용자나 외국산 스마트폰을 이용하는 이용자의 경우는 확인조차 할 수 없는 한계점도 명확하다.

심지어 성인인 부모조차 이러한 발상과 서비스를 거부할 방법이 없다는 것도 문제다. 앱의 품질이 나빠 이용을 거부하거나 자녀의 프라이버시를 지켜주기 위해 설치를 하지 않을 수도 있는데, 시행령은 부모가 당연히 동의할 것이라고 전제하고 있다. 이 앱은 부모가 원치 않아도 자녀의 폰에 설치되어 부모와 자녀를 감시자와 피감시자의 관계로 몰아넣어 스마트폰 이용에 관해 교육적인 대화를 할 수 있는 기회를 박탈한다.

감시와 통제로 교육? 발상 자체가 문제

정부는 프라이버시를 포함한 기본권을 침범할 소지가 높더라도 청소년의 모든 스마트폰 이용 내역을 감시하는 법안을 마련하고, 수십억 원의 예산을 들여 보안성이 매우 떨어지는 앱을 직접 개발해 배포했다. 불행 중 다행으로 지금은 직접 앱을 배포하는 것은 포기했지만, “청소년 스마트폰 감시법” 때문에 여전히 이런 강제 모니터링 앱을 설치해야 하는 수많은 청소년들이 존재한다.

정부는 여전히 청소년의 문자메시지, 채팅 메시지, 검색어 등을 감시하는 서비스를 운영 중이다.

참고로 지금도 서비스 중인 스마트안심드림은 예를 들어, “찍힐”, “주글”, “셔틀”, “찐따”, “빠굴” 등등 비속어 및 변종 그리고 “본드” “죽었”, “스트레스” “쌍커플”, “외모”, “월경”, “성범죄” 등의 주의어 등의 수천개의 단어들 목록에 포함된 단어가 이용되면 부모에게 곧바로 통지가 된다. 이용실적이 2015년 3월 현재 수천명 정도로 높지는 않다는 보도가 있었지만 이 청소년들에 대해서는 이미 통지가 수십만건 이루어지고 있다고 하며 이들은 고도의 감시상태 속에서 생활해야 한다.

정부는 통제와 감시로 문제가 해결된다는 생각을 버려야 한다. 시민들은 학교와 가정에서 교육해야 할 영역을 국가가 법으로 학교·부모의 감시를 강제하거나 이를 위해 개인용 통신기기에 특정 소프트웨어의 장착을 요구하는 것의 위험성에 대해 다시 한번 심각하게 생각해 봐야 할 때다.

————————————————–

[1] 안드로이드용 스마트보안관 최신버전(1.7.5 이하)

[2] 안드로이드용 스마트보안관 1.7.7

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 11. 16.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

국정원의 해킹사찰에 대한 국민고발 기자회견

요약문:

국정원의 불법적인 해킹 프로그램 구입하고 이를 내국인을 대상으로 사용한 행위를 검찰에 고발하고자 합니다.

발표일자:

2015/07/30

나머지 보기

패킷감청, 통신비밀, 형사사법, 공안기구사찰, 프라이버시, 기자회견, 의견서 및 소송

목, 2015/07/30- 00:29

311

오픈넷, 위법한 웹사이트 접속차단에 KISA와 망사업자들이 손해배상책임이 있다는 대법원 판결 이끌어내

오픈넷, 위법한 웹사이트 접속차단에

KISA와 망사업자들이 손해배상책임이 있다는 대법원 판결 이끌어내

– 오픈넷 출범 후 1호 공익소송 지원 사건에서 만 5년 만에 최종 승소

– 인터넷상 표현의 자유에 대한 중요한 판결로 평가

오픈넷 1호 공익소송 최종 승소

사단법인 오픈넷은 지난 2월 21일, 1호 공익소송으로 선정하여 지원한 금융앱스토어 비판 사이트 차단 사건에서 만 5년 만에 대법원 승소 판결(대법원 2017. 2. 21. 선고 2014다72234 판결)을 이끌어냈다고 밝혔다.

지난 2013년 4월 금융앱스토어(금융결제원이 자체적으로 운영한 별도의 앱 장터)의 보안 취약성을 비판하기 위한 목적으로 웹사이트가 개설되었다. 이를 발견한 금융결제원이 한국인터넷진흥원(이하 “KISA”)에 해당 웹사이트를 정보통신망법 위반을 이유로 신고하여 KISA는 망사업자들에 대해 접속차단을 요청했고, 망사업자들은 웹사이트에 대한 접속을 차단하였다. KISA는 이후 해당 웹사이트에 대한 접속차단을 해지하라고 망사업자들에게 요청하였으나 망사업자들이 접속차단 해지를 해태하여 접속차단 기간이 연장되었다.

대법원, 인터넷상 표현의 자유를 넓게 인정, “표현의 시의성”이 중요한 요소라는 판단

대법원은 KISA가 정보통신망법 위반 여부를 최종 심사할 고도의 주의의무를 가지고 있는데, 정보통신망법 위반 여부에 대해 제대로 심사하지 않은 과실이 있어 금융앱스토어 비판 사이트에 대한 접속차단은 위법하고, 피고 이동통신사들이 KISA의 접속차단 해지 요청에도 불구하고 즉시 해지를 하지 않은 책임을 인정하여 한국인터넷진흥원과 피고 이동통신사들은 각자 원고에게 100만원의 손해배상 책임이 있다고 한 항소심 재판부의 판단을 확정하였다.

이번 대법원 판결은 접속차단 관련 행정 심의에 요구되는 ‘엄격한 주의의무’를 인정한 것임은 물론, 다소 과격한 패러디의 형식으로 정책을 비판한 행위 역시 헌법이 보장하는 표현의 자유 영역에 속한다고 판단한 것으로 인터넷상 표현의 자유에 시사하는 바가 크다. 특히 법원이 인터넷의 특성을 반영하여 인터넷상 표현의 자유에서 “표현의 시의성” 보장이 중요하다는 판단을 한 점도 주목할 만하다.

– 오픈넷 항소심 승소 관련 보도자료: http://opennet.or.kr/7468

KISA의 접속차단 업무의 고도화 및 공공기관의 남상소 방지를 위한 보완책 필요

KISA는 이번 대법원 판결을 바탕으로 위법한 접속차단으로 인한 피해가 발생하지 않도록 해당 업무를 고도화해야 할 것이다. 우선 KISA는 소송진행 과정에서 해당 웹사이트가 정보통신망법 제49조의2를 위반했다는 주장을 반복하여 전문성에 의문이 들게 하였다. 또한 이번 사건에서 보듯 접속차단 해지 요청 프로세스가 제대로 기능하지 않았는데, 위법한 접속차단 발생 시 신속하게 이를 시정하는 프로세스 개선도 요구되는 대목이다.

끝으로 해당 사건은 소액사건심판법상 상고이유에 해당하지 않을 가능성이 다분했음에도 불구하고 KISA는 대법원에 상고하여 준정부기관의 예산을 낭비했다는 비판에서 자유롭기 어렵다. 향후 정부 또는 공공기관이 위법한 처분 등으로 인해 제기된 소송에서 패소하는 경우 예외적 사유가 없는 한 가급적 상소를 제한하는 정책적인 보완이 요구된다.

2017년 3월 2일

사단법인 오픈넷

<참고 1> 근거 법률

정보통신망법 제49조의2(속이는 행위에 의한 개인정보의 수집금지 등)
① 누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니된다.
② 정보통신서비스 제공자는 제1항을 위반한 사실을 발견하면 즉시 방송통신위원회나 한국인터넷진흥원에 신고하여야 한다. <개정 2009.4.22>
③ 방송통신위원회나 한국인터넷진흥원은 제2항에 따른 신고를 받거나 제1항을 위반한 사실을 알게 되면 다음 각 호의 필요한 조치를 하여야 한다.

위반 사실에 관한 정보의 수집·전파
유사 피해에 대한 예보·경보
정보통신서비스 제공자에 대한 접속경로의 차단요청 등 피해 확산을 방지하기 위한 긴급조치

<참고 2> 연합뉴스 보도 “패러디사이트 잘못 차단한 인터넷진흥원·통신사 배상해야”

http://www.yonhapnews.co.kr/bulletin/2017/02/21/0200000000AKR20170221057200004.HTML?input=1195m

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]

[논평] 인터넷 사이트 접속차단 함부로 하면 손해배상책임 진다 – 오픈넷, 금융앱스토어 비판사이트 접속차단에 대한 손해배상청구소송 승소 (2014.09.04.)
이른바 ‘피싱방지앱’ 나눠주기 운동 (오픈블로그 2013.05.13.)
금융앱스토어와 금융위/금감원/금결원의 ‘궁금한’ 관계 (오픈블로그 2013.05.05.)
[논평] 금융앱스토어 비판사이트 차단 소송제기 (2013.04.30.)
KISA와 금결원, 금융앱스토어 비판 사이트 차단 시도 (오픈블로그 2013.04.28.)
금융앱스토어 관련 금융당국의 ‘대처’ (오픈블로그 2013.04.26.)
[성명] 금융위는 관치만능과 보안무능의 산물인 금융앱스토어 정책을 즉각 폐기하라 (2013.04.26.)
금융앱스토에 대한 ‘금융위원회’ 보도자료? (오픈블로그 2013.04.25.)
금융앱스토어 관련 질의 (오픈블로그 2013.04.24.)
“금융앱스토어”라는 코미디 (오픈블로그 2013.04.22.)

논평/보도자료, 소송, 표현의 자유, 혁신과 규제, KISA, 공익소송, 금융앱스토어, 정보통신망법, 패러디, 표현의자유, 한국인터넷진흥원

목, 2017/03/02- 14:48

308

트럼프 정부의 인터넷 개인정보 규제 폐지에 부쳐 – 오픈넷 김가연 변호사 일문일답

트럼프 정부의 인터넷 개인정보 규제 폐지에 부쳐

글 | 써머즈

2017년 3월 미국 의회는 연방통신위원회(FCC)가 만든 개인정보 보호 규정 시행을 막는 결의안을 표결에서 통과시켰습니다. 3월 23일에는 상원에서, 3월 28일은 하원에서 각각 통과됐습니다. 공화당이 다수파를 차지하고 있으므로 가능한 일이었다고 생각합니다.

그리고 트럼프 미국 대통령은 2017년 4월 3일 인터넷 개인정보 보호 규정을 폐지하는 법안에 최종 서명했습니다.

동의 없이 고객 개인정보를 이용해도 된다는 트럼프 정부

미국의 인터넷 개인정보 보호 규정은 미국 연방통신위원회(FCC)가 2016년 10월 27일에 만들었는데, 미국 인터넷 서비스 제공자(ISP)가 고객(이용자)의 동의 없이 이용자의 인터넷 사용 정보와 앱 활동 등을 추적하거나 공유하지 못하게 하는 내용을 담고 있었습니다.

FCC의 2016년 10월 프라이버시 규칙

조금 더 정확하게 말하자면, ISP는 고객(이용자)의 정보를 이용하거나 공유하려면 고객들에게 ‘옵트인’ 방식, 즉 명확한 사전 동의를 받아야 한다는 뜻입니다. 여기에 해당하는 정보는 아래와 같습니다.

정확한 모바일 위치정보
금융 정보
건강 정보
아동 정보
사회보장번호
웹브라우저 이용 기록
앱 이용 기록
인터넷 통신 내용

반면 ISP가 기본적으로 고객의 사전 동의가 없어도 고객 정보를 수집하다가 고객이 사후 거부 의사를 밝힐 때부터 수집을 중단하는 “옵트아웃” 방식으로 수집할 수 있는 정보도 있습니다.

이메일 주소
이용하거나 공유해도 별로 민감하지 않은, 서비스 단에서 만들어지는 정보

또한 ISP는 자신들이 수집하는 개인정보가 무엇이고 어떻게 이용될지, 누구와 공유할지를 고객들에게 분명하고 알아보기 쉽게, 지속적으로 알려줘야 합니다. 그리고 고객들이 개인정보 설정을 어떻게 바꿀 수 있는지도 명시하고요.

그리고 보안에 대한 적절한 감독, 데이터의 적절한 폐기, 합리적인 데이터 보안 관행과 지침을 마련해야 한다고 했습니다.

단, 이 규칙은 (구글이나 페이스북 같은) 소셜미디어 웹사이트나 정부 시설 등에는 해당하지 않는다고 명시했습니다.

이 규정은 2017년 말부터 시행할 예정이었으나 트럼프의 서명으로 이제 미국의 인터넷 서비스 제공자들은 자신들의 이익을 위해 이용자 허락 없이 개인정보를 가져갈 수 있게 됐습니다.

“이것(FCC의 개인정보 보호 규정)은 불필요하고, 헷갈리고 혁신을 숨 막히게 하는 규제다.”

“It is unnecessary, confusing and adds another innovation-stifling regulation.”

아리조나 주의 상원의원 제프 플레이크는 FCC의 규제안에 대해 이렇게 말하면서 앞으로 FCC가 인터넷 이용자의 개인정보를 보호하는 유사한 규정도 만들지 못하게 하는 결의안까지 발의했습니다.

불법으로 팔아도 솜방망이 처벌뿐이던 한국…

트럼프 정부의 개인정보 보호 규정 폐지를 보니 생각나는 일련의 사건들이 있습니다.

홈플러스는 2011년부터 2014년 사이에 수집한 2,400만 건의 고객 개인정보를 보험회사에 팔아서 232억 원의 이익을 봤습니다. 홈플러스는 어떤 처벌을 받았을까요?

홈플러스

한국 정부(공정위)는 약 4억 원의 과징금을 부과했고, 법원은 1심에서 무죄를 선고했고, 검찰의 항소를 아예 기각했습니다. 시민단체들은 정보통신망법과 개인정보보호법을 위한 홈플러스를 조치해달라고 방통위에 신고서도 냈지만 별 조치는 없었습니다.

이쯤 되면 국가는 도둑을 장려하고, 기업은 법과 고객을 비웃는다는 생각이 머릿속에서 떠나지 않습니다.

홈플러스

다행히도 대법원이 홈플러스 전·현직 임직원에게 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울지방법원 형사항소부로 돌려보냈습니다. (2017년 4월 7일 2016도13263 대법원 3부, 주심 권순일 대법관)

대법원은 “피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집해 이를 제삼자에게 제공했다”면서 “이는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위’에 해당한다”고 밝혔습니다.

롯데홈쇼핑¹ 같은 경우는 2009년부터 2014년 사이에 고객 개인정보를 보험회사에 팔아서 37억 원가량의 이익을 봤습니다. 324만여 명의 고객 개인정보를 팔았는데 이 중 2만9천여 명에게는 “제3자 제공” 동의를 아예 구하지 않았습니다.

방통위는 롯데홈쇼핑에 2016년 8월 11일 과징금 1억8천만 원 부과를 결정했습니다. 시민단체들은 이를 검찰에 형사고발 했습니다. 시민단체들은 고객의 쇼핑내역 등 다른 정보까지 함께 판 것이 아닌지도 수사해 달라고 요청했죠.

이 외에도 개인정보 유출까지 이야기한다면 끝이 없을 겁니다. 공인인증서에 액티브엑스에 각종 설치파일에… 각종 불편함과 위험을 일반 인터넷 이용자인 고객에게 떠넘기면서 대량 개인정보 유출 사건이 일어나도 달라지는 건 없습니다.

업체들은 한 차례도 제대로 처벌받거나 거액의 보상금을 물어 준 적이 없습니다. 어떻게 유출됐고 어떤 보완책을 세웠는지 제대로 알리지도 않고 정부도 들여다보거나 국민에게 알려주지 않습니다.

그러면서 정부는 국민에게 정보를 제공할 때 신중해야 한다, 정보 제공에 동의하지 않았느냐며 국민을 힐난하고, 기업은 소비자 대신 정부 눈치만 봅니다.

현오석 경제부총리, "금융 소비자도 정보를 제공하는 단계에서부터 신중해야 한다. 우리가 다 정보 제공에 동의해줬지 않느냐"

한국에 미칠 영향은…

멀리 미국의 트럼프 정부의 인터넷 개인정보 규제 원점 논란은 미국만의 이야기일 수도 있습니다. 하지만 우리와 밀접한 관련이 있는 이야기일 수도 있습니다. 한국의 인터넷 이용자들과 관련 당국이 미국이나 영국 등을 참조하며 기대도 하고 규제의 틀도 만들기 때문입니다.

처음의 인터넷은 누구의 소유도 아니었지만, 점점 인터넷 기술이 고도화하고 상업화하면서 기업들이 그 자리를 모두 차지해버렸습니다. 여전히 인터넷 서비스 대다수는 무료이지만 기업은 이용자의 여러 정보를 빼내 재가공하고 퍼즐을 맞춰가며 개인들의 취향부터 약점까지 고루 공략하며 더 큰 돈과 기회를 만들고 있습니다.

정부는 대체로 기업들의 손을 들어주고 기업들에 더 큰 자유를 주고 있습니다. 홈플러스에 무죄를 내린 법원이나 방통위 등도 당시에는 한국 법이 좀 애매했지만 결국 큰 틀에서 보면 기업의 더 넓은 자유 보장이 세계적 트렌드 아니겠냐며 미래의 합당한 이유를 찾을 수 있을지도 모르겠습니다.

그사이 개인은 그저 돈을 지불하고 약관에 동의하고 정보 제공에 동의해야만 인터넷 세상에 살아남을 수 있는 정보 제공 숙주가 되어가고 있습니다.

오픈넷 김가연 변호사와 일문일답

오픈넷 김가연 변호사

– 트럼프 정부의 개인정보보호 규정 철폐에 관해 논평하면.

지금까지 개인정보 보호에 있어서 미국은 규제가 없다시피 했다. 그래서 어떻게 보면, 2016년 FCC(미 연방통신위원회)가 시민사회의 의견을 반영해 ‘최소한의 규정’을 만들었다고 본다.

즉, 그동안 미국은 기본적인 원칙도 없던 상태였는데, 그나마 그 최소한의 원칙을 만든 것이다. 그런데 결국 이마저도 기업 친화적인 트럼프 정부가 대형 이통사나 ISP의 로비에 넘어가 폐기한 것으로 평가한다. 소비자의 개인정보 보호와 프라이버시 보호 대신 기업 편을 들어줬다고 본다.

– 한국에 영향은 없을까.

한국은 미국과 다르게 강력한 개인정보 보호 법제가 존재한다. 하지만 그 집행이 제대로 이뤄지지 않는 문제가 있다. 기업들이 개인정보보호법을 위반해도 규제 당국이 솜방망이 처벌로 일관해왔다.

미국이 FCC의 규정을 폐기했다고 해서 우리나라 관련 개인정보 보호 법제가 약화하지는 않을 것으로 보고, 오히려 우리 법의 체계는 더 강화하는 경향성을 보이고 있다. 하지만 문제는, 앞서 말했듯, 그 집행에서 솜방망이 식으로 일관하고 있는 점이다.

– 그런 점에서 이번 홈플러스 대법원 판결은 큰 의미가 있다고 보인다.

대법원이 이번에 정말 올바른 판단을 했다. 개인적으로 1심과 2심의 판단에 아주 분노했었는데, 다행히 대법원이 올바른 판단을 했다. 법원이 이용자의 개인정보, 프라이버시를 보호해야 한다는 ‘시그널’을 기업에 보낸 판결이라고 본다.

– 홈플러스의 230억 원은 어떻게 되나.

해당 수익은 유죄로 확정된다면 범죄수익으로 판단해 몰수하거나 추징할 가능성이 생긴다.

– 실제로 기업의 범죄 이익이 몰수되거나 추징된 사례가 있나.

개인정보보호법 위반 사례에서 기업의 범죄 수익이 몰수되거나 추징된 사례는 없는 것으로 알고 있다. 참고로 말하자면 지난번 홈플러스에 부과된 과징금은 공정위의 행정벌에 해당할 뿐, 범죄에 대한 벌금이나 몰수, 추징금은 아니다.

다만, 이번 대법원 판결의 취지를 그대로 받아들이면 홈플러스의 행위는 유죄이고, 그 행위를 통해 벌어들인 수익은 범죄 수익이 되므로 원칙적으로 몰수나 추징할 수 있다고 본다.

– 이번 대법원 판결이 민사소송에 미치는 영향은.

홈플러스를 상대로 한 소비자들의 민사 소송에 당연히 긍정적인 영향을 미칠 것으로 보인다.

1. 법인명은 (주)우리홈쇼핑

* 위 글은 슬로우뉴스에 동시게재하고 있습니다. (2017.04.10.)

오픈블로그, 프라이버시, FCC, 개인정보, 개인정보보호법, 슬로우뉴스, 홈플러스

목, 2017/04/13- 12:33

306

유럽이 틀렸다 | ‘잊힐 권리’ 법제정이 위험한 이유

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

유럽이 ‘잊힐 권리’(제17조)를 포함하는 유럽 전역에서 유효한 개인정보보호법(GDPR)을 제정했다. 강력한 개인정보보호법은 각 개인에 대한 정보가 양산되고 있는 상황에서 매우 중요하고 시급한 일이다. 자신만이 알던 정보를 회사나 정부에게 제공할 때 제공의 조건이 엄격히 지켜지도록 해야 하고, 조건을 집행하기 어렵다면 그런 정보에 대해서는 정보주체에게는 소유권을 주고 정보처리자에게는 물권법에 해당하는 엄격한 책임까지 지울 수 있어야 한다.

하지만 잊힐 권리는 그런 정보를 정보주체가 통제할 수 있도록 해주는 권리가 아니다. 이미 자신이 더 이상 통제권을 가질 수도 없고 가져서도 안되는 정보(예를 들어, 자신에 대한 합법적인 정보가 존재하는 URL 또는 자신에 대해 명예훼손도 아니고 또 합법적으로 일반에게 공개되어 더 이상 프라이버시법익을 주장할 수도 없는 정보 자체)에 대한 통제권을 사람들에게 되돌려주려고 하고 있다. 결국 사람들에게 스스로 서로에 대해 검열자가 될 권한을 쥐어주려고 하고 있다.

정확히 말하자면 잊힐 권리는, 인터넷을 통한 정보 파급의 빠른 속도와 시·공간적 광범위성 때문에 사람들의 과오에 대한 정보를 타인들이 너무 쉽게 취득할 수 있게 됐으니, 사람들이 자신에 대해 시의성 없는 정보를 자신의 ‘이름 검색’ 결과에서 배제하도록 하자는 권리(2014년 4월 유럽사법재판소 판결)이다.

정보의 시의성은 정보주체의 주관적 상황에 따라 판단할 수 없다. 해운업자는 과거의 여객선 과적 사실이 지금 운행 상황과는 무관하다고 주장하겠지만 조금이라도 더 안전한 배에 자녀들을 태우고 싶은 학부형들 입장에서는 매우 유의미한 정보이다. 단지 시간이 흘렀고 정보주체의 사정이 바뀌었다고 해서 그 정보가 타인들에게 얼마나 절실할 수 있는지를 배제하고 정보유통을 제한하는 것은 타인의 알 권리를 비례성 있게 보호하는 것이 아니다. 아빠를 찾고자 하는 ‘코피노’들의 절실함은 지금은 성실하게 현재의 가정을 보호하고자 하는 아빠들의 잊히고 싶은 욕망을 압도할 수 있다.

공인이 또는 공익적인 정보에 대해서는 잊힐 권리를 행사하지 못하게 한다고 해서 이 문제가 해결되는 것이 아니다. ‘공인’, ‘공익’ 등은 공동체 다수의 또는 평균적 사고를 반영하는 개념이다. 표현의 자유가 지지하는 다원주의 사회의 이상은, 공동체 다수나 평균적 사고에 포함되지 않은 사상도 불법만 아니라면 존중되어야 한다는 것이다. 대다수의 사람들은 어느 변호사가 12년 전에 자신의 주택을 경매당했다는 사실에 관심이 없겠지만, 그 시기의 법조인들의 경제사정을 연구하고자 하는 사법개혁 연구가 1인에게는 매우 중요한 정보일 수 있다.

우리가 잊힐 권리에서 건질 것이 있다면 사람들이 과거의 과오 때문에 불합리하게 차별받아서는 안 된다는 교훈일 것이다. 사람들의 개과천선을 관용해야 한다. 하지만, 관련 정보를 억제하려고만 하는 것은 기저의 갈등을 은폐하고 실체적 문제의 해결을 지연시킬 뿐이다. 타인의 과거를 알 수 없도록 법적으로 차단하는 방식을 통해서만 서로에게 너그러워질 수 있다면 그 사회는 진정한 관용의 문화를 성숙시킬 수 없다.

정보를 삭제 차단까지는 하지 않고 검색만을 제한한다고 해서 이 문제가 해결되는 것도 아니다. 자원이 있는 사람은 인력을 고용해 검색에서 누락된 정보를 찾아낼 수 있지만 자원이 없는 사람은 그 정보를 찾아낼 수 없다. 특히 ‘검색되지 않는 정보는 존재하지 않는 것과 같다’는 경구에 비추어보자면 검색에만 의존해야 하는 사람의 상대적 빈곤은 엄청날 것이다. 결국 힘없는 개인들도 대기업과 같은 정보력을 갖도록 해줌으로써 공정한 경쟁과 민주주의에 기여해온 인터넷의 기능이 훼손될 뿐만 아니라 정보의 불균형성을 인터넷 이전 시대보다 악화시킬 것이다. 이렇게 인터넷이 평등한 정보접근 도구로서의 의미를 잃게 되면 사람들은 타인들에 대한 평가에 있어서 오프라인상의 평판에 더욱 의존하게 될 것이다. 결국에는 인터넷 이전 시대처럼 광고홍보 비용을 많이 지출할 수 있는 강자가 약자를 압도하는 평판의 불균형성도 초래하게 되고 정치·경제·사회적 공정경쟁을 더 어렵게 만들 것이다.

특히 우리나라에서는 정보통신망법 제44조의2에 따라 누구든 명예훼손 또는 사생활침해를 소명만 하면 침해가 확실하지 않더라도 그 정보를 삭제, 차단시킬 수 있다. 또 방송통신위원회법 제21조4호에 따라 방송통신심의위원회가 “건전한 통신윤리의 함양을 위해 필요”하다는 명목으로 불법이 아닌 정보도 삭제할 수 있다. 이외에도 정보통신망법 제70조 제1항, 형법 제307조 제1항, 공직선거법 제251조 모두 진실인 정보도 시간의 흐름에 관계없이 형사처벌할 수 있는 조항들이 존재한다. 여기에 다시 합법적인 정보를 삭제할 수 있는 제도를 만드는 것은 엄청난 퇴보이며 기존 제도들의 문제점을 해결하기 위해 정부, 산업계, 학계가 벌였던 표현의 자유를 위한 노력들에 찬물을 끼얹을 것이다.

더욱이 GDPR 17a조는 더욱 심각한 문제인데 누군가 잊힐 권리 행사 요청만 하면 그 요청이 타당한지 판단하는 기간 동안 정보처리자가 반드시 해당 정보를 차단하도록 하고 있다. 일종의 ‘임시조치’ 제도의 잊힐 권리 버전을 제정한 것인데, 어차피 잊힐 권리에 해당하지 않는 것도 요청만 하면 임시조치 의무는 발생하는 것이니 폐해는 광범위하다. 특히 GDPR은 조문만 보면 해석에 따라, 단지 ‘이름 검색’결과에서 배제하는 것을 넘어 검색 전체에서의 배제 또는 링크된 게시물 원본의 차단까지 요구할 위험도 안고 있다. 우리나라 정보통신망법 44조의2 보다 더 강하게 표현의 자유를 침해할 내용을 답습하고 있는 것이다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.04.28.)

오픈블로그, 표현의 자유, GDPR, 박경신, 잊힐 권리

목, 2016/04/28- 17:55

305

오픈넷, 시티즌랩과 함께 청소년 스마트폰 감시 앱에 대한 보안감사 보고서 발표

오픈넷, 시티즌랩과 함께

청소년 스마트폰 감시 앱에 대한 보안감사 보고서 발표

한국시간으로 9월 11일 저녁 9시, 사단법인 오픈넷은 캐나다 토론토 대학교 시티즌랩과 함께 한국의 청소년 스마트폰 감시 앱에 대한 보안감사 보고서를 발표했다. 보고서는 감시 앱들이 심각한 프라이버시 및 보안 문제를 갖고 있음을 드러냈다.

2015년 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 일명 ‘청소년 스마트폰 감시법’에 의하면 이통사는 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다.이렇게 감시 앱의 설치를 강제하는 법은 세계 최초이다. 오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔으며 작년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구한 바 있다.

오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서에 의하면, 유해정보로부터의 청소년을 보호한다는 명분으로 개발된 감시 앱들이 오히려 청소년들을 보안 위험에 노출시키는 것으로 드러났다. 보안감사 대상 앱인 ‘사이버안심존’과 ‘스마트안심드림’은 (사)한국무선인터넷산업연합회((MOIBA)가 방송통신위원회의 지원을 받아 개발, 배포중인 앱이다.

2015년 시티즌랩과 큐어53은 역시 MOIBA에서 개발한 유해정보 차단 앱인 ‘스마트보안관’에 대한 보안감사를 실시하여 이용자로부터 민감한 정보를 수집하고 이용자 계정을 탈취하며 서비스를 방해하는데 악용될 수 있는 26건의 보안 취약점을 찾아냈다. 이후 MOIBA는 스마트보안관 서비스를 중단했지만, 여전히 사이버안심존과 스마트안심드림을 배포하고 있다. 연구진은 이번 보안감사를 통해 해당 감시 앱들이 프라이버시나 보안을 고려하여 개발되지 않았음을 보여주는 심각한 보안 취약점을 발견했다.

사이버안심존은 부모가 원격으로 콘텐츠를 차단하고 자녀가 사용하는 모바일 앱을 모니터링하고 관리할 수 있게 해주는 앱이다. 그런데 분석을 통해 사이버안심존이 실제로는 이름만 바꾼 스마트보안관으로, 동일한 코드를 사용하고, 2015년 보안감사에서 밝혀진 보안 문제 중 다수를 여전히 갖고 있음이 드러났다. 스마트보안관 보안감사 보고서를 발표하기 전 연구진은 ‘책임있는 공개(responsible disclosure)’ 절차에 따라 MOIBA에게 취약점을 고지해 수정하도록 노력했는데, 수정은커녕 문제가 있는 앱을 이름만 바꿔 다시 출시한 것은 매우 무책임한 태도가 아닐 수 없다.

스마트안심드림은 부모가 자녀의 메신저와 인터넷 검색 기록을 모니터링해서 왕따의 징후를 발견하고 자녀의 고민을 알 수 있게 해주는 앱이다. 연구진은 분석에서 저장된 메시지 및 검색 기록에 대한 무단 액세스를 허용하는 심각한 보안 취약점이 발견했다. 이번 보고서 발표 전 MOIBA에게 취약점을 고지했으며 다행히 MOIBA는 바로 취약점을 대부분 수정한 업데이트를 발표했다.

보호가 필요한 아동과 청소년이 무조건 사용해야 하는 앱에 대해서는 더욱 엄격한 보안 기준이 적용되어야 한다. 하지만 전반적으로 MOIBA가 청소년 감시 앱 개발에 있어 보안을 최우선으로 두고 있는 것으로 보이지 않는다. 지금이라도 방통위는 사이버안심존의 보안 문제에 대해 조치를 취하고, 이통사 앱 등 다른 감시 앱에 대해서도 철저한 보안 감사를 거쳐야 할 것이다.

물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다.

정부는 2016년 12월 부모의 거부권(opt-out)을 인정하는 전기통신사업법 개정안을 제출했다. 잘못을 인정하고 개선을 하려는 정부의 노력은 바람직하지만, 전 세계 유일무이 감시 앱 강제법인 청소년 스마트폰 감시법은 궁극적으로 폐지되어야 한다.

2017년 9월 12일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]