2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
스타트업얼라이언스 앤스페이스
빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요?
방송통신위원회는 2016년 업무계획에서 빅데이터 시대를 대비하여 비식별화와 익명화 조치 근거를 만들어 선사용-후동의(opt-out) 방식의 개인정보 활용 산업을 활성화하겠다고 밝힌 바 있습니다. 이 같은 움직임은 이익형량의 고려가 부족한 사전 동의(opt-in) 방식의 현행 개인정보보호 법령이 기업들의 개인정보를 활용한 서비스를 부당하게 제한하고 있다는 인식에 근거하고 있습니다.
그러나 비식별화 및 익명화 처리에 대한 이해와 방법론이 불분명한 상황에서 옵트아웃 제도의 도입은 개인정보 자기결정권을 사실상 무력화시킬 수 있다는 우려와 비판의 목소리가 큽니다. 논의의 전제인 사전동의 방식의 개인정보 보호 효과에서부터 비식별화와 익명화의 개념정의, 국내외 개인정보보호 법령의 해석 등 많은 부분에서 주장이 엇갈리고 있는 것도 사실입니다.
이번 3월 정기 오픈넷 포럼에서는 개인정보 분야의 전문가들을 모시고 개인정보 비식별화/익명화 및 옵트아웃 정책을 둘러싼 각 계의 주장을 정리해보고 개인정보 보호에 대한 합리적 정책 방향을 모색하고자 합니다.
개인정보 분야에 관심 있는 여러분들의 많은 참석 부탁드립니다. 참가신청은 오픈넷 홈페이지(http://opennet.or.kr/11312)에서 하실 수 있습니다.
일 시: 2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
장 소: 스타트업얼라이언스 앤스페이스
(서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
발 제
심 우 민 국회입법조사처 입법조사관
토 론
박 경 신 고려대학교 법학전문대학원 교수, 오픈넷 이사
전 응 준 법무법인 유미 변호사
이 영 환 건국대학교 정보통신대학원 교수
문의: 오픈넷 사무국 02-581-1643, [email protected]
빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요?
방송통신위원회는 2016년 업무계획에서 빅데이터 시대를 대비하여 비식별화와 익명화 조치 근거를 만들어 선사용-후동의(opt-out) 방식의 개인정보 활용 산업을 활성화하겠다고 밝힌 바 있습니다. 이같은 움직임은 이익형량의 고려가 부족한 사전 동의(opt-in) 방식의 현행 개인정보보호 법령이 기업들의 개인정보를 활용한 서비스를 부당하게 제한하고 있다는 인식에 근거하고 있습니다.
그러나 비식별화 및 익명화 처리에 대한 이해와 방법론이 불분명한 상황에서 옵트아웃 제도의 도입은 개인정보 자기결정권을 사실상 무력화시킬 수 있다는 우려와 비판의 목소리가 큽니다. 논의의 전제인 사전동의 방식의 개인정보 보호 효과에서부터 비식별화와 익명화의 개념정의, 국내외 개인정보보호 법령의 해석 등 많은 부분에서 주장이 엇갈리고 있는 것도 사실입니다.
이번 3월 정기 오픈넷 포럼에서는 개인정보 분야의 전문가들을 모시고 개인정보 비식별화/익명화 및 옵트아웃 정책을 둘러싼 각 계의 주장을 정리해보고 개인정보 보호에 대한 합리적 정책 방향을 모색하고자 합니다.
개인정보 분야에 관심있는 여러분들의 많은 참석 부탁드립니다.
일 시 : 2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
장 소 : 스타트업얼라이언스 앤스페이스
(서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
- 지도: http://startupall.kr/location/
발 제
심 우 민 국회입법조사처 입법조사관
토 론
박 경 신 고려대학교 법학전문대학원 교수, 오픈넷 이사
전 응 준 법무법인 유미 변호사
이 영 환 건국대학교 정보통신대학원 교수
문의: 오픈넷 사무국 02-581-1643, [email protected]
* 참조(발제문 및 토론문): http://opennet.or.kr/11312
빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.
발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 「빅데이터 개인정보보호 가이드라인」을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.
먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.
개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.
예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.
방송통신위원회가 2014년 12월에 공표한 「빅데이터 개인정보보호 가이드라인」의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.
최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.
결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.
이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.
현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.
이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.
우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.
박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.
먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.
방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.
이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.
그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.
박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.
전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 「익명화」(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.
「가명화」(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.
개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.
전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.
우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.
결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.
F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.
A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.
F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.
A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.
전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.
박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.
심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.
F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.
A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.
F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.
F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.
A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.
F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.
A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.
오픈넷은 3월 30일부터 4월 1일까지 미국 샌프란시스코에서 열리는 기술과 인권 국제컨퍼런스 라이츠콘(RightsCon Silicon Valley 2016, 주최 Access Now)에 참가하여 통신자료제공, 잊힐 권리, 정보매개자책임, 투명성보고, 디지털 기업의 사회적 책임, 망중립성 등 정보인권 분야의 현안에 대해 발표한다. RightsCon은 매년 5-600명의 인권운동가들, 인터넷 기업들, 과학기술전문가들, 정부관료들 등이 참여하여 인터넷의 미래에 대해 대해 토론하는 디지털 인권 분야 최대 규모의 국제회의이다.
오픈넷은 2015년 필리핀 마닐라에서 개최된 라이츠콘 2015에도 참여하였으며, 온라인 표현의 자유, 통신감시, 투명성보고 등 정보인권 주요 분야 논의에 참여하였으며, 특히 “정보매개자 책임에 대한 마닐라원칙(The Manila Principles on Intermediary Liability)” 선언에 큰 기여를 한 바 있다.
라이츠콘 2016 에서 오픈넷이 주최하거나 참여하는 세션은 아래와 같다.
[참가 세션 소개]
인권 기준에 비춘 서비스 약관 컴플라이언스 평가(Assessing Terms of Service compliance with Human Rights Standards): 정보매개자인 인터넷 기업들의 약관 내지 개인정보보호지침 상 “통지 및 동의” 모델과 개인정보 보호 정도의 상관관계에 대해 정보인권의 관점에서 논의한다.
기업 참여를 위한 증거 기반 연구와 활동 전략: 사례와 교훈(Evidence Based Research and Advocacy Strategies for Engaging Companies: Cases and Lessons): 작년 오픈넷과 시티즌랩이 공동으로 진행한 청소년 유해정보 차단 앱 스마트보안관 기술 감사 보고서 발표 배경과 그 성과, 그리고 앞으로의 대응 방향에 대해 발표한다.
망중립성(Net Neutrality Principles and Exceptions): 각 국의 망중립성 현황에 대해 논의하는 세션으로 제로레이팅(Zero rating)과 관련한 한국의 망중립성 정책 현황 및 P2P 패킷의 송수신을 차단하는 한국 이동통신사의 사례를 소개한다.
프라이버시, 익명성, 그리고 영장없는 통신자료 제공(Privacy, Anonymity and Warrantless Acess to Subscriber Identification Data): UN 특별보고관, 캘리포니아 통신비밀보호법 연구자, EFF 등과 함께 영장없는 통신자료 제공의 문제점과 세계 각국의 제도를 바꾸기 위한 캠페인 전략 등을 논의한다.
이 밖에도 오픈넷은 잊힐 권리(The Right to be Forgotten: Remembering Freedom of Expression), 기업의 사회적 책임과 인권(Beyond CSR: Promoting Strong Human Rights Performance in the Private Sector), 혐오표현(Online Hate Speech: Identification and Strategies), 검열(Censorship by Proxy – Making Intermediaries Liable for Internet Cleanse), 정보매개자 책임과 마닐라 원칙(Who is an Intermediary? Harmonizing multiple definitions, Manila Principles: One Year Later), 국가간 개인정보 요청(Cross Border Data Requests) 등에 관한 다수의 세션에서 발표한다.
한편 오픈넷과 협력하고 있는 고려대 한국인터넷투명성보고팀은 한국의 방송통신심의위원회의 통신심의 제도와 운용 현황에 비추어 본 온라인 콘텐츠의 행정검열 문제에 대하여 발표하고(Administrative Censorship Online: Necessary Evil?), 투명성보고 관련 세션(Reporting and beyond: why company and government transparency is essential for human rights online)에 참여하여 각국의 연구자들과 함께 투명성보고의 중요성과 역할에 대하여 토론할 예정이다.
이에 앞서 3월 28일, 29일에는 오픈넷 박경신 이사가 Article 19이 주최하는 ‘표현의 자유와 프라이버시의 균형 원칙’이라는 전문가회의에서 축조심의에 참가하며, 3월 29일에는 전 세계 인터넷 기업의 인권보호 정도를 평가해 기업책임지수(Corporate Accountablity Index)를 발표하는 RDR(Ranking Digital Rights)이 주최하는 비공개회의에 2015년 RDR 연구에 객원연구원으로 참여했던 김가연 변호사가 참가한다. 4월 1일에는 MLDI(Media Legal Defense Initiative가 주최하는 ‘세계의 공익임팩트소송 전략’에 참가하며 한국의 공익소송 사례들을 소개한다. 4월 4일-5일에는 뉴욕으로 자리를 옮겨 콜럼비아 대학교 세계표현의자유연구소가 주최하는 연례컨퍼런스에 참가하여 한국의 주요 표현의 자유 판례들을 소개한다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
[기자회견]
글 | 민노씨(슬로우뉴스 편집장)
2014년 9월 16일 국무회의.
박근혜 대통령은 대통령에 대한 모독 발언이 도를 넘고 있다고 말했다. 검찰은 이틀 만에 사이버 명예훼손 대응 전담팀을 만들었다. 그해 10월, 11월 카카오톡(이하 ‘카톡’) 사찰 논란이 터졌고, 많은 이들이 ‘텔레그램’으로 망명했다.
2016년 3월 현재.
필리버스터는 좌절됐고, 테러방지법은 국회를 통과했으며, 이제 사이버 테러방지법이 바로 국회 문 앞에서 대기 중이다.
2014년 9월 16일 제40회 국무회의 모습 (출처: 청와대)
올해 초 페이스북(이하 ‘페북’)에서 일어난 “파란 기왓집 살인사건”[1]에 관해 한 번 살펴보자.
“박근혜 저까튼년 사지를 찢어 죽일 거다. 내일 파란 기왓집 살인사건 일어나면 접니다. 오늘 거사를 치를 준비가 되었읍니다.”(참고 기사)
페이스북에 ‘청와대를 공격’하겠다는 글과 함께 ‘사제 총기’ 사진이 올라갔다. 어떻게 대응해야 할까? 있을 수 있는 가장 중한 가능성을 고려해야 마땅하다.
그렇다면 이 게시물은 국가원수에 대한 테러 실행 모의인가? 그렇지 않다. 경찰이 직접 밝힌 것처럼 ‘사제 총기’ 사진은 가짜로 판명됐고, 경찰 스스로 테러 모의가 아닌 ‘모욕죄’ 입건을 검토하겠다고 밝혔다. 테러가 실제로 발행할 가능성(현존 위험)은 없었다고 판단할 수 있다.
경찰이 수사를 통해 새로운 사실을 밝히지 않는 한 이 사안은 ‘욕설’과 ‘가짜 총기’ 사진이 담긴 ‘모욕죄 가능성’ 있는 게시물이다.
우선 경찰(검찰)은 게시물을 올린 게시자 신원을 파악하는 데 실패했다. 그리고 특별한 사실관계 변화는 없다. 하지만 경찰은 검찰을 통해 혐의 내용을 모욕죄에서 협박죄로 변경해 법원에 ‘압수수색영장’을 청구했고, 법원은 이를 발부했다. 언론은 이런 일련의 상황 변화를 ‘게시자 검거를 위한 경찰의 무리수(과잉 충성)’라고 해석(추정)한다. 이 의심은 혐의 내용의 변화가 없다는 점에서 합리적이다.
다시 확인하자. 이 사안은 테러의 실질적인 가능성이 없는 ‘모욕죄’ 사안이다. 이를 확인해 준 건 다름 아닌 경찰이다. 하지만 모욕죄의 용의자 신원을 확보하지도 못한 채,새로운 사실관계가 추가됨이 없이 혐의 사실은 모욕죄보다 그 죄질과 처벌 수위가 한 단계 높은 ‘협박죄’로 바뀌었고, 법원은 압수수색 영장을 내줬다.
그리고 경찰은 페북 본사에 용의자 신원정보을 확인하기 위해 IP(인터넷주소)를 알려달라고 요청한다(왜냐하면 한국에는 페이스북 서버가 존재하지 않으므로). 그리고 페북은 이 요청에 협조했다. 페북 측에 문의한 결과, 이는 사실로 확인됐다.
“이 사건 영장에 협조한 바 있는가”라고 페북 측에 묻자, 담당자는 “법률팀에서 사안을 검토해 협조할 만한 사인이라고 판단하면 협조한다”고 밝혔다. 더불어 “이런 영장 협조는 한국이 최초이거나 특별한 것은 아니며, 각국의 영장 협조 사실에 관한 통계를 게시판을 통해 공개한다”고 말했다. 페북의 영장 협조에 관해 좀 더 살펴보자.
각설하고, 우선 페북 정부 요청 보고서를 보자.
페이스북, ‘정부 요청 보고서’ 페이지
구체적으로 2015년 상반기(1월~6월) 한국 정부가 페이스북 측에 요청한 개인정보 처리 결과는 아래와 같다.
페이스북, 2015년 상반기 ‘대한민국’에 관한 정보 요청 보고서
구글이나 애플은 어떨까? 결론을 미리 말하면, 그 절차와 처리 기준 다소 차이가 있을지언정 구글과 애플 역시 사정은 마찬가지다. 즉, 구글과 애플도 한국 법원의 압수수색 영장 등 형사 절차 협조 요청에 사안에 따라 다르긴 하지만, 협조하고 있다.
구글 투명성 보고서, 2015년 상반기 국가별 ‘개인정보 요청’ 통계 중 일부 발췌
2015년 상반기 동안 페북, 애플, 구글에 대한민국 정부가 개인정보를 요청한 건 수와 각 기업이 이 요청에 협조한 비율은 다음과 같다.
계정을 기준으로 하면 한국 정부가 구글에 요청한 개인정보(3,417건)가 압도적으로 높고, 각 기업이 정보를 제공 비율로 보면, 애플 > 구글 > 페북 순이다.
주의할 점은 페북과 구글 그리고 애플은 그 서비스의 성질과 특성이 서로 다르다는 점이다. 따라서 일률적으로 어떤 기업이 더 한국 정부에 협조적이라거나 또는 그 반대라고 판단하기는 어려울 것으로 보인다. 다만, 3사 모두 한국 정부의 수사 협조 요청에 각자의 기준으로 대응(협조)하고 있다는 점은 확실하다.
다시 사건으로 돌아와 보자. 프라이버시와 표현의 자유는 일정한 조건에서 제한될 수 있다. 일률적으로 무조건 압수수색영장 협조를 거부하라고 주장하는 것은, 무조건 협조하라고 말하는 것만큼이나 설득력이 없다. 중요한 것은 이 사건을 둘러싼 한국 사회의 시대적 흐름 속에서 사건을 구체적이고, 다각도에서 해석하고, 그 안에 담긴 의미를 끌어내는 관점과 철학이다.
이 사건은 본질에서 (가장 대표적인 공인이라고 할 수 있는) 대통령에 대한 테러나 살해 모의가 아니라 ‘모욕’이 문제된 사안이다. 거듭 강조하지만, 이는 경찰이 직접 확인해 준 바이며, 또 달리 판단할만한 새로운 사실도 없다.
오픈넷 성명서 중 일부를 인용해보자.
특히 페이스북은 최근 우리나라가 대통령의 평판을 보호하기 위해 국가기관이 제기한 여러 명예훼손 민형사소송 때문에 프리덤하우스의 연례조사에서 OECD국가들 중에서 드물게 ’부분적 자유’국으로 분류되고 있다는 점을 감안하여 이용자 표현의 자유에 대해 더욱 신경을 써야 한다.
내 보기에 오픈넷 성명서에서 주목해야 하는 문구는 둘이다. 하나는 “대통령의 평판”, 그리고 나머지 하나는 “국가기관이 제기한”.
박 대통령 자신이 국무회의에서 “대통령에 대한 모독적 발언이 도를 넘고 있다”고 말했고, 검찰은 그 ‘시그널’을 바로 접수했다. 둘의 ‘호흡’을 만족스럽게 바라보는 국민도 있을 수 있다. ‘감히 어떻게 대통령에게’라고 생각하는 국민, 분명히 많을 거다. 그분들 생각, 나는 진심으로 존중한다. 다만, 그 국민 중에서 나는 빼주시라.
대통령에게 입에 담지 못할 욕설을 하고, 위험천만한 테러를 직접 실행하겠다는 글을 페북에 썼다. 이런 폭력적 행위와 몰상식을 옹호하려는 게 아니다. 비판받아 마땅하다. 하지만 손쉽게 국가의 공권력에 기대어 이를 해결하겠다는 발상은 위험하다.
국가는 공적 폭력(복수)을 독점하고, 대리한다. 그래서 그 공권력은 최후의 수단으로 사용되어야 한다. 그래서 현존하는 명백한 위험이 존재하지 않는 한, 말과 글로 만들어진 ‘폭력’과 ‘몰상식’은 우선은 말과 글로 풀어야 마땅하다. 경찰이 긴급체포조를 투입할 일은 아니라는 말이다. 그 체포조 투입이 상식이 되면 우리의 ‘아가리’도 봉인된다.
우리나라 대통령이다. 욕을 해도 칭찬을 해도 우리가 한다. 대통령 욕하라고 권장하는 게 아니다. 하지만 나는 그게 주권자인 국민의 권리라고 생각한다. 욕 안 먹는 대통령이 한 번이라도 있었나. ‘없는 곳에선 나라님도 욕한다’는 속담은 괜히 있는 말이 아니다. 고 김대중 전 대통령이 괜히 “인터넷에 글을 올리고, 하다못해 담벼락을 쳐다보고 욕이라도 할 수 있다”고 시민의 정치 참여를 독려한 게 아니다.
박경신 고려대 교수(오픈넷 이사, 사진)에게 이번 사건의 의미를 물었다. 박 교수는 페이스북과 같은 글로벌 서비스가 “역외 영장에까지 협조하면서 국제적 기준에서 문제가 많은 우리나라의 인권 침해적 법률 집행을 도와주는 것은 문제”라고 말했다.
이하 박 교수와의 일문일답이다.
-오픈넷에서 이 사건과 관련해 성명서를 냈다. 이 사건에 주목한 이유는 뭔가.
이 사건의 진행 과정은 놀랍다.
한국인이 외국 서버를 쓰는 서비스를 통해 저지르는 범죄를 수사할 때마다 경찰과 검찰은 국내접속자 IP를 확인할 수 없다면서 어려움을 호소했다. (예를 들어, 소라넷의 성폭행 선동글에 대한 수사) 그런데 이 사건은 단 21일말에 뚝딱 해치웠다.
– 21일이 “뚝딱”이라고 할 만큼 짧은가?
그렇다. 통상 제대로 된 절차를 거치려면 1년 이상 걸리기도 한다.
– 제대로 된 절차라면 어떤 걸 말하는 건가.
범죄수사를 위한 국민의 프라이버시 침해는 그 수사기관으로부터 독립적인 공직자 즉 판사가 발부한 영장을 통해서 이루어져야 한다. 이를 영장주의라고 한다. 그런데 여기서 판사가 아무 나라 판사라도 괜찮겠는가?
예를 들어, 다음카카오 서버에 있는 정보를 압수수색하는데 서인도제도의 생소한 나라 판사가 발부한 영장이면 충분한가? 아닐 것이다. 바로 이 원칙을 세우기 위해 만든 게 ‘믈랫’(MLAT; 형사사법공조조약)이다. 한국과 미국 사이에도 체결돼 있다. 즉, 국내 정보를 압수수색하려면 국내 영장이 있어야 하고, 외국 수사기관 요청이 있으면 국내 영장 발부를 위해 상호협조한다는 게 ‘믈랫’의 취지이다.
– 믈랫(MLAT)?
페북, 구글, 애플에 영장을 집행하려면 ‘믈랫’ 절차를 밟아 미국 법원이 발부한 영장이 필요하다. 역으로 한국에 서버가 있는 서비스를 사용하는 미국인에 관해서도 마찬가지다.
문제는 ‘믈랫’ 절차가 미국 기준으로 영장을 발부하다 보니 시간이 오래 걸리고, 거부될 때도 잦다. 1년 이상 걸리기도 한다. 보통 검경이 해외 서버 수사의 어려움을 호소하는 이유도 이 때문이다.
그런데 이번 “파란 기왓집” 건은 통상 1년 걸렸을 절차가 ‘초고속으로’ 21일 만에 영장이 집행됐다.
– 왜 그랬을까?
페북이 ‘믈랫’ 절차를 통한 미국 법원의 영장을 기다리지 않고 자발적으로 정보를 제공했기 때문이다.
– 그럼 페북의 영장 협조는 위법한가.
제공 자체가 위법은 아니다. 미국 통신비밀보호법은 특이하게도 한국 통비법과는 다르게 IP주소나 통신자 신원 등 통신의 내용이 아닌 것에 대해서는 사업자들이 외국 수사기관에 자발적으로 제공할 수 있도록 한다. 하지만 반드시 제공할 의무도 없기 때문에 대부분 사업자가 사안의 경중을 가려 제공하기도 하고 제공하지 않기도 한다.
– 이번 사건의 “빠른 진행이 놀랍다”고 한 건 그런 맥락인가.
그렇다. 성폭행 선동글 수사와 같은 사안에 대해서는 IP 제공이 안 이루어지다가 이번에는 이렇게 빨리 이루어진 것이 눈에 밟힌다.
– 페북의 영장 협조를 비판했다. 하지만 애플이나 구글도 대동소이할 것으로 보인다. 어떻게 보나.
페북, 애플, 구글이 집행하는 여러 역외 영장 중 페북이 집행한 한 개에 관해 우연히 전후 사정이 밝혀져 이번에 의견을 낼 수 있었지만, 나머지 케이스에 관해서는 그 사안의 구체적 사정을 알 수 없어 전반적으로 평가하기는 곤란하다. 다만 마이크로소프트(MS)는 잘하고 있고 본다.
-MS는 잘하고 있다?
MS는 현재 미국 정부와 소송 중이다. 미국 검찰이 아일랜드 서버에 있는 미국 이용자의 정보를 영장 들고 와서 달라고 하니까, MS 측은 이렇게 대응했다:
‘아일랜드에 가서 형사사법공조조약 절차를 밟아라.’
이용자의 프라이버시를 우선하는 자세는 높게 평가할 하다. 하지만 역으로 미국 검찰이 자국민(미국인)을 수사하는데 아일랜드까지 가야 하나, 이런 반박도 있다. 어느 쪽이 절대적으로 옳다고 말할 수는 없다.
다만 중요한 것은 이런 논의가 사회적으로 일어나고, 그것이 매우 필요하다는 점이다. 더불어 현재 법 체계는 그렇게 돼 있다. 적어도 법 제도를 엄격하게, 특히 이용자의 권익을 고려해 적용한다는 점에서 MS의 대응은 평가할 만하다고 본다.
-표현의 자유나 프라이버시가 항상 우선하는 것은 아니지 않나.
프라이버시는 물론 절대적이지 않다. 모든 사안에 대해서 형사사법공조조약 절차를 따르라는 것은 무리일 수 있다. 실현 가능성이 큰 테러나 현재 발생한 납치범 수사 등여러 긴급한 사안이 있을 때는 프라이버시를 제한할 수도 있다고 본다. 법원 절차를 거치지 않더라도 일반 상식으로 개별 사안을 평가할 수 있을 것으로 본다. 재난구조를 위해서도 필요할 수 있다.
하지만 이번 페북 게시물 사건은 긴급한 테러나 재난이 아니다. 우선 모욕죄 자체가, 페북이 스스로 따르겠다고 약속한 국제 인권 기준에 반하는, 폐지되어야 할 범죄 아닌가. 물론 협박죄로 죄목을 바꿨지만, 애초에 모욕죄 수사였다는 것을 경찰 스스로 언론에 밝힌 상태였다.
그런 사안에 대해 경찰이 영장 집행을 요구할 때는 욕설과 비난의 대상이 대표적 공인인 대통령이었다는 점도 고려했어야 할 것으로 본다. 대통령 ‘모욕죄’야말로 ‘국가원수모독죄’와 같이 퇴물 취급받아야 구시대의 유물 아닌가.
[1] 맞춤법상 표기는 ‘기왓집’이 아니라 ‘기와집’이 맞지만, 이 사건의 대상인 게시물의 표기를 따라 ‘기왓집’으로 표기한다.
* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.03.31.)
국가 전파 감시•감독 기관인 미래창조과학부 중앙전파관리소의 도청(불법감청) 탐지 절차와 범위가 명확하지 않은 것으로 드러나 논란을 빚고 있다. 35개 민간 불법감청설비탐지업 등록법인에 대한 실태 점검 체계도 허술해 프라이버시 침해 우려를 낳고 있다.
전파관리소 사법경찰관과 민간 불법감청설비탐지업자가 누구의 어떤 대화를 엿듣고 녹음 파일을 얼마나 만들어 어떻게 다뤘는지 낱낱이 확인할 수 없는 상태. 관련 자료 보존•폐기 여부도 오로지 도청 탐지 장비를 다루는 공무원과 민간 업자의 양심에 기댈 뿐이다.
특히 전파관리소가 불법감청설비탐지업체의 영업 실태를 점검할 근거마저 없어 문제다. 전파관리소 관계자도 “(위법 행위) 예방 차원에서 1년에 한두 번 계도할 뿐 장비 현황이나 운영 실태, 영업 실적 따위를 조사할 권한이 없다”고 확인했다. 불법감청설비탐지업체가 도청 여부 탐지를 맡긴 시민의 개인 정보를 얼마나 가졌고, 어떻게 보호•관리하는지조차 제대로 살펴볼 수 없어 개선이 요구된다.
법이 애매한 경우도 많으니 (도청 탐지 근거를) 명확히 하자. 법이 명확하지 않으니 (전파관리소가 시민 대화를 엿듣는 것 아니냐는) 의혹이 있지 않나 하는 취지로 법 개정을 검토하고 있습니다.
3월 18일 전상하 중앙전파관리소 불법감청설비팀장의 말. 지난 2월 22일 광주전파관리소가 사기도박 몰래카메라 영상과 무선 통신 내용을 녹화•녹음한 뒤 경찰과 함께 혐의자들을 붙잡은 게 되레 국가기관의 도청 논란으로 번지며 불거진 전파관리소의 고민이 들어 있다. 전파관리소 쪽이 도청 탐지 행위의 법적 근거를 다 갖추지 못한 상태임을 인정한 건 이번이 처음이다.
그동안 전파관리소가 도청 탐지 근거로 내세운 통신비밀보호법 제3조(통신 및 대화비밀의 보호)를 보면 그 누구든지 전기통신을 엿듣거나 공개되지 않은 다른 사람 간 대화를 녹음•청취할 수 없지만 ‘혼신 제거 등을 위한 전파 감시’를 예외로 해 뒀다. 이 예외 조항에 기대어 ‘전파 감시 활동 중에 감청과 녹음을 할 수 있는 것’으로 여겼던 것. 하지만 통신비밀보호법 제3조의 예외 근거로 이어진 전파법 제49조와 51조는 허가받지 않았거나 혼신을 일으키는 전파를 찾아 바로잡기 위한 것이지 주파수를 타고 흐르는 남의 대화를 듣거나 녹음하는 데 쓸 기준은 아니다. 해당 법률에 ‘도•감청’이나 ‘녹음’ 같은 낱말이 명시되지도 않았다. 이처럼 두루뭉술한 근거 때문에 늘 시빗거리가 될 수 있음에도 법률과 세칙 따위를 개선하지 않은 채 사기도박 증거로 감청•녹음을 내민 터라 전파관리소 스스로 감청 논란을 불러왔다.
▲최시중 제1기 방송통신위원회 위원장(왼쪽 줄 가운데)이 2008년 7월 10일 서울 가락동 중앙전파관리소를 찾아가 오승곤 당시 전파보호과장(오른쪽 줄 아래)으로부터 불법감청 탐지 체계에 관해 들었다. (사진: 옛 방송통신위원회 보도자료)
▲최시중 제1기 방송통신위원회 위원장(오른쪽 앞)이 2008년 7월 10일 서울 가락동 중앙전파관리소에서 이동형 전파측정장비를 살펴봤다. 장비를 설명하는 이는 민원기 당시 중앙전파관리소장. (사진: 옛 방송통신위원회 보도자료)
광주전파관리소는 실제로 “콜, 들어가라. 콜, 콜” 같은 대화를 담은 44초짜리 녹음과 몰래카메라 영상 녹화로 사기도박 혐의자를 잡는 데 큰 구실을 했다. 전파관리소의 이런 능력이 정치인은 물론이고 시민을 표적으로 삼을 수도 있을 것으로 풀이됐다. 민주사회를위한변호사모임 광주전남지부와 진보네트워크센터가 전파관리소의 시민 사찰 의혹과 걱정을 내놓은 까닭이다.
그동안 전파관리소는 도청 탐지 활동으로 사기도박단을 잡아낸 걸 자랑할 일로 여겼다. 국가기관의 부지런한 전파 감시 덕에 사기도박 덫에 빠진 시민을 구해 낸 미담으로 보였기 때문이다.
중앙전파관리소가 2011년 5월 31일 보도자료를 내어 2010년 불법감청설비 적발 수가 25건이라고 널리 알렸을 정도. 이 가운데 하나인 2010년 1월 19일 대전전파관리소의 사기도박단 검거 사례도 올 2월 광주에서 일어난 일과 비슷했다. 무선 영상 몰래카메라와 생활 무전기를 갖춘 채 사기도박으로 생각된 ‘전파에 담긴 음성’을 추적해 잡아냈다.
이 사건이 더욱 눈길을 끈 건 “아산시 전파 관리를 위해 설치한 원격 지능형 전파측정시스템에 의해 사기도박으로 추정되는 ‘음성이 감지돼’ 전파 송신 위치를 추적했다”는 대전전파관리소 쪽 설명. ‘원격 지능형 전파측정시스템’은 서울•부산•광역시•도청소재지를 중심으로 설치한 붙박이 전파측정장비 70식(주변기기를 포함한 소프트웨어와 하드웨어 결합 체계)과 준붙박이 장비 14식이다. 중앙전파관리소 쪽 설명으로는 “국내 거주 지역의 35%”를 덮는 규모. 이 체계에 이상한 전파가 감지되면 방향탐지장비 15식과 전파측정차량 23대를 이용해 송신 위치를 찾아간다. 아산시 사례는 전파관리소가 폭넓은 전파 속 음성 탐지와 위치 추적 체계를 갖췄음을 방증했다.
2009년 4월 17일 대전전파관리소가 대전지방검찰청에 송치한 사기도박단 사건도 전파 탐지와 위치 추적 형태가 비슷했고 보도자료를 통해 널리 알려졌다. 대전에 사는 100억 원대 자산가 김 아무개 씨가 사기도박 덫에 걸려들었다는 내용과 모자에 숨겼던 몰래카메라 사진까지 곁들여 흥미까지 불러일으켰다.
▲움직이며 전파를 측정하는 전파관리소 자동차(왼쪽)와 2009년 4월 대전전파관리소가 잡아낸 사기도박용 몰래카메라•무전기. (사진: 옛 방송통신위원회와 중앙전파관리소 보도자료)
2008년 10월 30일 더 재미있는 보도자료도 나왔다. 중앙전파관리소가 그해 11월을 ‘불법감청(도청) 예방 및 집중 단속 기간’으로 정하고 지방 전파관리소별로 전국 일제 단속에 나선다는 것. 단속 기간에 도청 대응 심포지엄을 열어 무료로 탐지 서비스까지 해 주겠다고 곁들여 마치 잔치를 벌이는 듯했다.
오승곤 당시 중앙전파관리소 전파보호과장은 “소형 도청기를 이용한 사기도박, 개인비밀 도청, 관음적 촬영 등의 불법 행위가 발생하기 때문에 집중 단속이 불법감청으로 인한 국민의 사생활 보호는 물론 일반 국민에게 불법감청에 대한 경각심을 높이는 계기가 될 것”이라고 말했다.
특히 오 과장과 중앙전파관리소는 보도자료에 ‘불법도청 예방수칙’까지 곁들여 눈길을 모았다. 가정 무선 전화로는 중요한 대화를 하지 말라거나 복제될 수 있으니 휴대폰을 다른 사람에게 빌려 주지 말라는 내용을 넣은 ‘도청 예방 10계명’을 내놓은 것. 처음 보는 휴대폰 같은 전자기기가 주변에 있다면 전원을 끈 상태로 서랍에 넣어두라는 ‘불법감청 육안 체크리스트’들도 담아내 전파관리소가 다각적이고 다면적인 도청 탐지 체계를 운영하고 있음을 엿보게 했다.
▲2008년 10월 30일 중앙전파관리소가 내놓은 도청 예방 10계명.
통신비밀보호법에 실태 점검을 해라 그런 게 없어요. 법이 미비한 점이 있다고 생각되는데요. 저희한테 어떻게 하라는 규정이 없어요. 그분들(불법감청설비탐지업자)이 등록한 뒤 (위법 행위) 예방 차원에서 계도하는 거라고 보시면 됩니다.
3월 21일 이재택 중앙전파관리소 조사계장(방송통신기기•불법감청설비 총괄)의 말. 올 2월 기준으로 35개에 이른 불법감청설비탐지업체의 영업 활동이 일으킬 수 있는 부작용이나 위법 행위를 막을 만한 관리 체계가 없다는 뜻이다.
“예방 차원에서 계도한다”고는 하나 “그 업체에서 (사법경찰관이 사업장에) 오셔서 지도 점검할 근거가 있느냐고 되물으면 (대답할 게) 없다”는 게 전파관리소 관계자의 설명. 도청 전파를 찾아 녹음할 수 있는 장비를 갖추고 자유롭게 영업하는 불법감청탐지업체의 위법 행위를 딱히 규제할 방법이 없다는 얘기였다. 이른바 ‘계도’를 위한 업체 방문도 “웬만하면 1년에 한 번 이상 가려고 노력한다”는 정도에 지나지 않았다.
불법감청설비탐지업체가 새로운 도청 탐지기를 사들였더라도 전파관리소에 ‘장비 변경 신고’를 할 의무도 없는 것으로 확인됐다. 처음 사업 등록을 할 때 유선(통신)선로분석기와 주파수스펙트럼분석기를 각각 1식만 갖춘 뒤로는 장비에 관한 감독을 따로 받지 않기 때문이다.
더욱 큰 문제는 민간 업체가 일하며 알게 된 고객의 정보를 어떻게 관리하는지 알 수 없다는 것. 이 또한 사업 등록을 할 때 ‘이용자 보호 계획’을 낸 뒤로는 중앙전파관리소의 감독이 미치지 않는 상태다. 고객 정보 관리 실태를 들여다볼 법적 근거가 없음은 물론이다.
한 불법감청탐지업체 대표는 “(고객) 개인 정보를 다 파기한다”고 말했으되 일하다가 음성을 녹음한 건 어떻게 관리하느냐는 질문에 “회사 보안상 말씀드릴 수 없다”며 대답을 피했다. 나중에 녹음한 것도 지우느냐는 질문에도 “보안상 모두 말씀드릴 수 없고, 개인 정보는 저희가 철저히 관리하고 있는 부분”이라고 덧붙였다. 중앙전파관리소가 계도 차원에서 실태 조사 같은 걸 나왔을 때 고객 정보 관리 상황을 살펴봤느냐는 질문에도 대답을 내놓지 않았다.
“전파관리소는 벤츠급이고 우리는 그랜저나 소나타급”이라며 도청 탐지 장비의 기능상 차이가 없음을 내보인 또 다른 업체의 대표도 ‘녹음이 적법하냐’는 질문엔 입을 다물었다. 그는 기자의 질문이 법적 근거 여부로 이어지자 갑자기 “(도청 탐지 중에 들리는 음성은) 사람 목소리를 말하는 게 아니다”고 강변했다. 하지만 이 업체는 인터넷 홈페이지에 2013년 어느 날 서울 서초동 한강변 아파트를 지날 때 ‘탐색기에서 한 여성의 통화 내용이 들렸다’고 소개해 뒀다. 그와 그의 동료들은 스펙트럼분석기와 전파방향탐지기를 들고 ‘음성이 더욱 또렷하게 들리는 곳으로 걸어갔다’고도 밝혔다. 고객이 도청 탐지를 의뢰하지 않았음에도 대화를 일부러 엿들어 통신비밀보호법을 위반 시비에 휘말릴 개연성이 커 보였다.
이 업체가 서울 서초동에 사는 어느 여성의 통화 내용을 엿듣기만 했는지, 녹음까지 했는지를 전파관리소 쪽이 알거나 확인할 길이 없다. 통화 내용에 담겼던 개인 정보를 제3자에게 넘겼거나 달리 이용했는지도 깜깜하기로는 매한가지. 모두 도청 탐지 장비를 든 이의 양심에 맡겨야 할 따름이다.
▲한 불법감청탐지업체가 인터넷 홈페이지에 소개한 도청 탐지 사례. 탐지 장비를 켠 채 돌아다니다가 도청 전파에 담긴 음성을 엿들은 것으로 보였다. 설거지 소리까지 들렸다는 내용도 있다.
▲불법감청탐지업체들이 인터넷에 소개한 여러 장비. 도청 탐지 전파에 담긴 음성을 녹음하는 기능이 있는 걸(오른쪽 위 빨간 점선 원) 확인할 수 있다.
전파관리소도 도청 탐지 장비를 쓰는 사법경찰관 20명의 양심에 기댈 뿐이다. 불법 전파를 감시하다가 만난 도청 내용(음성)을 얼마나 들어야 할지, 녹음할지 말지 따위의 기준과 절차로 미리 정해 둔 게 없기 때문. 엿들은 정보와 녹음을 사사로이 이용하거나 제3자에게 넘기지 않는 것 또한 사법경찰관 제각각의 도덕에 맡겨야 한다.
이런 지경임에도 미래창조과학부와 전파관리소의 도청 탐지 사법경찰관에 대한 교육이나 활동 관리 체계마저 허술했다. 1년에 한두 차례 지방검찰청별로 수사 관련 교육을 할 뿐 도청 탐지 기술이나 개인 정보 보호와 관련해서는 사법경찰관의 개별 경험에 기대는 형편이다.
녹음과 개인 정보를 포함한 도청 탐지 수사 자료의 관리도 제대로 이루어지지 않았다. 도청 탐지 활동을 몇 년 동안 얼마나 벌여 몇 건을 잡아냈고, 어떤 내용을 녹음해 검경에 증거로 제공했는지 따위를 따로 관리하지 않았다는 게 전파관리소 쪽 설명. 전파관리소 한 관계자는 “수사 자료 원본을 모두 검찰에 송치한다”며 기자의 정보 공개 청구가 있더라도 “(전파관리소 차원에서) 공식적인 자료를 파악하지 않는다고 답변할 수밖에 없다”고 말했다. 따로 헤아려 관리하는 자료가 없기 때문에 공개할 게 없다는 뜻으로 들렸다.
옛 정보통신부 출신 업계 관계자는 “우리 사회에서 전파 쓰임새가 많아지다 보니 불법 이용에 대한 감시도 더욱 중요해질 수밖에 없다”며 “그만큼 역작용도 고려해야 한다”고 말했다. 그는 특히 “전파 감시 장비를 다루는 공무원(사법경찰관)과 민간 사업자의 도덕적 해이를 어떻게 점검할 것인지를 생각해 볼 때가 된 것 같다”고 보았다.
국정원 통제와 인권침해방지책 없는 테러방지법 시행령(안)
제목: 2015 기업책임지수 (Corporate Accountability Index) 연구 – RDR(Ranking Digital Rights) 프로젝트
주요 내용:
전 세계의 대표적인 인터넷 또는 통신 기업 16개사의 표현의 자유와 프라이버시 보호 정도를 평가한 연구입니다. 오픈넷은 한국 인터넷 기업인 카카오에 대한 평가의 상호 검토(peer review) 단계에서 객원연구원으로 참여했습니다.
관련 글: 카카오가 페이스북보다 잘한 한 가지
국정원 전횡, 인권침해,
발표일자:
2016/04/20
시민들의 의견
댓글 달기