AD
YTN라디오(FM 94.5) [YTN 뉴스FM 슬기로운 라디오생활]
□ 방송일시 : 2020년 9월 9일 수요일
□ 진행 : 최형진 아나운서
□ 출연 : 오병일 진보네트워크센터 대표
- 수기 출입명부..4주후 파쇄 또는 소각토록 중대본 지침, 실행 여부는 알수 없어
행정력 못미쳐 매장에 일임돼있는 상황
- QR코드, 다른사람이 보진 못하지만 업체에 대규모로 기록돼 정보 누적 가능성
수기출입명부.. 다른사람이 볼순 있지만, 한시적일수 있어
- 이태원, 광화문집회 등 기지국 위치정보 활용, 개인정보보호법 위반 소지도
통화기록 아닌 단순 기지국 접속정보 보관하는 것은 법적 문제 있어
- 기지국 접속정보, 통신사..통화품질 내세우지만, 빅데이터 활용 등에 활용될 소지
투명하게 밝혀져야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.
◇ 최형진 아나운서(이하 최형진): 1부는 현장의 목소리로 생활 속 이야기를 들어봅니다. 사회적 거리두기 2.5단계가 시행되면서 요즘 커피숍, 식당 등 어딜 가도 입장하기 전에 반드시 출입명부에 내 이름과 전화번호, 방역수칙 준수 여부를 기록하도록 돼있죠. 방역을 위해 전 국민이 협조하고 있는 부분인데요. 그런데 출입명부를 쓴 뒤 남모르는 전화번호로부터 남자친구는 있느냐, 술 사줄게 만나자 이런 문자를 받는다면 어떠시겠습니까. 하루에도 몇 번씩 쓰게 되는 내 이름과 전화번호가 어쩌면 악의적으로 이용될 수도 있지 않나? 이런 걱정이 드는 건데요. 방역을 위해 제공한 내 개인정보, 어떻게 처리되고 보관되는 걸까요? 괜찮을까요? 진보네트워크센터의 오병일 대표 연결돼 있습니다. 안녕하세요?
◆ 오병일 진보네트워크센터 대표(이하 오병일): 네, 안녕하세요.
◇ 최형진: 앞서 말씀드렸던 대로 식당이나 커피숍 등을 가게 되면 수기 방명록을 작성하게 되는데, 대표님도 QR코드나 수기 방명록 작성해보신 적 있으십니까?
◆ 오병일: 네, 그럼요. 그런데 저는 수기 방명록만 작성해봤습니다.
◇ 최형진: 수기 방명록 같은 경우에는 이렇게 안내가 되어 있습니다. 얼마의 기간 후에 폐기를 한다. 법으로 정해져 있는 보관기간이 있습니까?
◆ 오병일: 법으로 정해진 것은 아니고요. 중앙방역대책본부 안내문에 따르면 4주 보관 후에 폐기하도록 하고 있습니다.
◇ 최형진: 4주 후에는 파쇄 또는 소각을 해야 한다.
◆ 오병일: 네, 그렇죠.
◇ 최형진: QR코드를 사용하는 곳은 불안함이 덜한데, QR코드 사용이 의무가 아닌 곳도 많습니다. 그러면 이름과 전화번호 같은 개인정보를 수기 방명록에 써야 하는데, 이렇게 쓰다 보면요. 제 앞에 온 사람들 정보가 그대로 보입니다. 개인정보보호에는 취약한 부분이 아닌가 싶은데, 보관기관 이외에 수기 방명록 관리에 대한 지침이 따로 있습니까?
◆ 오병일: 방명록 관리에 대한 지침이 따로 있는 것은 아니고, 중앙대착방역본부에서 여러 가지 시설에 대한 지침을 내리는데, 여기에 방명록에 대한 부분도 있고요. 방명록을 작성하는데, QR코드, 혹은 수기 방명록으로 하게 되어 있고. 수기 방명록 작성 시에도 신분증을 확인하도록 되어 있는데, 실제 그렇게 운영되고 있지는 않죠. 대부분.
◇ 최형진: 신분증을 내민 적은 없었던 것 같습니다.
◆ 오병일: 네, 맞습니다. 실제 매장에서는 다들 바쁘시니까, 서비스하시느라고 확인할 그런 상황 자체가 안 되는 것 같습니다.
◇ 최형진: 그렇군요. 중요한 부분인데, 앞서 말씀주셨던 것처럼 4주 후에 제대로 파쇄나 소각이 되는지, 사실 알 수 없는 부분 아니겠습니까? 현장점검 등도 필요할 것 같은데 어떻게 보십니까?
◆ 오병일: 지자체에서는 현장점검 자체가 힘든 것 같고요. 지자체도 여러 가지 역학조사라든가, 대응에 바쁘고 인력은 한정되어 있기 때문에 이런 것들이 제대로 이루어지고 있지 않은 것으로 알고 있고. 실제 매장에서 자율적으로 폐기하기를 바라야 하는 그런 상황입니다. 제가 보기에는 이런 수기 방명록만 문제가 아니라 예를 들면 QR코드도 수기 방명록과 같은 문제가 발생하지는 않겠지만 또 다른 측면에서 위험할 수 있는데요. 예를 들면 거기에는 대량으로 개인정보가 축적이 되는 거잖아요. 그러한 개인정보가 유출된다든가, 혹은 다른 목적으로 활용될 수도 있는 거고요. 그다음에 우리가 생각을 해봐야 할 게 QR코드든, 수기든, 사실 내 행적이 언제든지 추적될 수 있도록 기록을 하는 거잖아요. 의무가 되는 거란 말이죠. 그런데 감염병 환자나 의심자 뿐만 아니라 전 시민을 대상으로 한다는 점에서 일반적인 감시라고 볼 수 있고요. 이게 예를 들면 어떤 식당에 왔을 때 혹시 이 식당에서 문제가 생기면 당신에게 정보를 제공해주겠다, 검사를 받아보라고 한다든가. 그러면 이런 정보를 받기 위해서 진정한 동의하에 작성된 것이 아니라 강제가 되는 거잖아요, 의무적으로. 그렇기 때문에 이런 일반 시민에 대한 강제조치는 사실은 감염병 위기 상황에서도 최소화될 필요가 있거든요. 반드시 필요한 한도 내에서. 지금까지는 법적 근거도 없고, 그런 안전장치에 대한 검토 없이, 그리고 실효성에 대한 검토 없이 일단 추진되어 왔다는 데 문제가 있는 것 같고요. 실효성까지 포함해서 이런 부분에 대한 면밀한 검토가 필요하지 않을까 싶습니다.
◇ 최형진: 일단은 어떤 행정력의 부재 때문에 수기 방명록 관리에 대한 점검 등이 현재는 매장에 일임되어 있는 상태군요?
◆ 오병일: 네, 그런 거죠.
◇ 최형진: 이태원 클럽 상황 이후로 또 하나 관심을 갖게 된 부분이 통신사 기지국을 통한 위치정보에 대한 건데요. 이태원 클럽이나 최근 광화문 집회 관련해서도 방문자들을 확인하기 위한 방법으로 기지국 위치정보를 활용했습니다. 방역에 큰 도움이 됐다고 평가되고 있는데, 이게 어떤 원리입니까?
◆ 오병일: 우리가 휴대전화를 사용할 때 실제로 통화를 하고 있지 않아도 제 휴대전화는 제 주변에 있는 기지국하고 계속 신호를 주고받고 있습니다. 언제든지 통화를 할 수 있게 하기 위해서는요. 그래서 기지국에는 내 휴대전화와 관련된 정보들이 남게 되겠죠. 이런 것들이 물론 신호 소통만 하고, 기록을 안 할 수도 있는데, 지금 통신사에서 내가 통화하고 있지 않을 때도 내 휴대전화와 주고받은 정보를 기록을 하고 있다는 거예요. 그러면 내 위치정보가 기록된다기보다는 특정 위치에 있는 기지국에 내 정보가 기록되는 거잖아요. 그래서 특정 기지국에 기록된 정보들을 보면 이 특정 시점에 이 기지국 주변에 누가 있었구나, 하는 것들을 파악을 할 수 있는 것이죠. 결과적으로 내가 그 위치에 있었다는 것이 알려질 수 있는 상황인 것입니다.
◇ 최형진: 사실 이런 것이 있는 것인지 예전에는 몰랐거든요. 나의 위치정보가 통신사에 보관되어 있다고 하는 것을 이번 코로나19 이후로 알게 된 분들도 많습니다. 일반적으로 통신사 가입자들에게는 안내가 안 되는 것으로 알고 있는데, 어떻습니까?
◆ 오병일: 이게 통신사 홈페이지를 보시면 개인정보 처리방침이라고 있거든요. 여기에 보시면 어떤 개인정보를 수집하는지가 나와 있는데, 수많은 개인정보들이 있죠. 그리고 직접 이용자가 제출하는 정보도 있고, 통신과정에서, 서비스 이용과정에서 생성되는 정보들도 있거든요. 이중에 기지국 정보라든가, GPS 정보 같은 개인정보 위치정보도 포함되어 있습니다. 그래서 가입할 때도 당연히 이런 개인정보 처리방침에 대한 동의를 하게 되고요. 그래서 통신사들은 우리는 동의를 받았다, 이렇게 이야기를 할 수 있겠지만 이용자들이 이런 것들을 일일이 인식하고 있지는 않은 거죠. 그런데 더 큰 문제는 이렇게 기지국 정보를 보관하는 게 통신서비스 제공을 위해서 필수적인가 하는 부분이에요. 서비스 제공에 필수적인 정보라고 하면 당연히 제공을 하거나 생성될 수 있는 거 아니에요? 그런데 거기에 대해서 이용자가 이의를 제기할 필요는 없을 것 같은데, 그런데 내 휴대전화와 기지국이 아까 말씀드렸던 대로 신호를 주고받는다고 하더라도 이게 내가 실제로 통화한 기록이 아니면 굳이 남겨놓을 필요가 없거든요. 그러면 동의를 받아서 수집을 할 수는 있지만 이게 서비스 제공을 위한 필수정보가 아니면 별도의 동의를 받아야 합니다. 그런데 지금까지는 사실 별도의 동의를 받지 않았죠, 통신사들이. 처음에 가입할 때 일반적인 개인정보에 대한 동의는 받았지만 별도의 동의를 받지는 않았죠. 그래서 개인정보보호법 위반의 소지도 있다고 생각합니다.
◇ 최형진: 이게 나의 개인정보지 않습니까? 내가 어디에 갔는지 개인적으로도 확인이 가능한 건가요?
◆ 오병일: 물론 확인 가능할 수 있죠. 결국 통신사의 입장에서는 여러 기지국에 기록된 내 정보들을 한꺼번에 파악을 할 수 있잖아요. 그러면 내가 어떤 경로를 거쳐서 이동을 했는지, 이런 것들이 다 파악 가능합니다.
◇ 최형진: 그러면 조금 악용될 소지도 있을 것 같습니다.
◆ 오병일: 물론이죠. 이거는 악용이라는 것이 예를 들면 자신도 모르게 개인위치정보를 다른 영리적 목적으로 이용하는 것도 악용일 수 있는 거잖아요. 그것까지 포함을 한다고 하면, 혹은 자신도 모르게 제삼자에게 제공될 수도 있는 거고요. 그래서 위치정보는 사실은 아주 민감한 정보잖아요. 왜냐하면 내 일거수일투족을 알 수 있는 거니까. 그래서 많은 문제가 있는 거죠.
◇ 최형진: 지금 몇몇 애청자 분께서 질문을 해주고 계신데요. 애플리케이션으로 “패스트푸드점에 방문하는데 QR코드가 없어서 개인정보 누출이 심할 정도여서 패스트푸드점은 방문을 못하고 있습니다. QR코드로 전환하면 어떨까요?” 이런 의견인데요. 아무래도 QR코드가 수기 방명록보다는 훨씬 더 안전한 것이죠?
◆ 오병일: 아까 말씀드린 대로 서로 취약점과 강점이 다른 거거든요. QR코드 같은 경우는 수기처럼 다른 이용자들이 바로 보기에는 힘들겠죠. 다만 대규모로 기록이 되기 때문에 그 차원에서 문제가 있을 수 있는 거고. 수기는 다른 사람에 노출될 수 있지만, 그 업체에 기록된 것에 한정되잖아요. 그런 측면에서는 사회적으로 보면 큰 위험성이 덜하다고 볼 수 있는데, 지금 QR코드 같은 경우는 일부 사업장에 대해서만 의무화되고 있는 것으로 알고 있어요. 그 사업장에서도 QR코드 외에도 물론 수기를 원할 경우에는 수기로 작성할 수 있도록 하고 있지만 말이죠. 왜냐하면 QR코드를 사용하지 못하시는 분들도 있을 수 있거든요. QR코드를 특히 위험시설 같은 경우는 강제를 하고 있는데, QR코드 외에도 수기도 병행하도록 하고 있고. 그 외의 사업장에서는 QR코드를 도입할 것인가 여부가 자율적으로 맡겨져 있는 상황인 거죠.
◇ 최형진: 네. 지금 위치정보가 보관이 되고 있습니다. 그런데 보관기간을 보면 통신사별로 차이가 있는 것으로 알고 있거든요. 3개월에서 6개월 정도인데, 보관기간이 통신사마다 차이가 있는 이유가 뭘까요?
◆ 오병일: 이게 원래 저희가 통화한 내역이 있잖아요. 이것이 통신사실 확인자료라고 하는데, 이것은 통신비밀보호법에서 보관기간이 의무화되어 있습니다. 예를 들어서 통화내역은 12개월, 인터넷 로그 기록이라든가, 기기 위치정보는 3개월인데요. 지금 말씀드린 기지국 접속정보는 사실 실제 통신을 하지 않은 경우에도 기록이 되기 때문에 통신사실 확인자료라고 할 수 없고, 법적으로 기록을 의무적으로 해야 하거나 기간이 정해져 있는 것도 아니거든요. 그러니까 통신사 편의에 따라서 기간을 설정하고 있는 거죠.
◇ 최형진: 그러면 3개월에서 6개월이 지난 정보는 확실하게 폐기가 되고 있습니까?
◆ 오병일: 그것은 역시 통신사에 일임되고 있는 건데, 그것은 통신사가 자신들이 그렇게 예를 들면 3개월 보관하고 있다고 약관에 명시를 하고 있기 때문에 그렇게 적용하지 않으면 약관 위반이 되는 거죠.
◇ 최형진: 일각에서는 이번 기지국 위치정보 제공 과정에서 이동통신사들끼리 빅데이터 활용을 위해서 가입자들의 휴대전화 위치정보를 몰래 축적해왔다, 이런 주장도 있는데요. 감염병 방역 목적으로만 활용되고 있는지 확인이 되는 부분입니까?
◆ 오병일: 이런 기지국 접속정보가 감염병 방역목적으로 수집하고 있는 게 아니거든요. 수집된 게 있기 때문에 방역목적으로 활용을 요청해서 제공을 받은 거죠. 그러니까 감염병 방역 목적과 무관하게 어쨌든 통신사들은 이런 기지국 위치정보를 수집해왔던 거고요. 이런 것이 아까 말씀드렸지만 이게 제가 통화한 내역이라고 하면 옛날부터 보관을 해왔는데, 통화하지 않을 때의 기지국 접속정보도 보관하고 있는 것은 사실 저도 최근에 알게 됐거든요. 그러니까 알려지지 않았던 거고. 이런 것들이 이제는 통신사들은 통화품질 불만이라든가, 이런 문의 때문에 보관을 하고 있다고 이야기를 하고 있는데, 그 목적뿐만 아니라 여러 가지 빅데이터 활용이라든가, 이런 목적으로 활용될 가능성들이 있는 거죠. 그런 것들이 실제로 어떻게 활용되고 있는지가 아직 투명하게 밝혀지지 않고 있기 때문에 확실하게 제가 말씀드리기는 힘들 것 같습니다.
◇ 최형진: 이게 사실 개인정보의 유출이 걱정되고, 우려되기는 합니다만 일단 감염병 방역목적이나 또 범죄사실을 소명해야 할 때는 이런 부분도 필요하지 않겠습니까?
◆ 오병일: 아까 말씀드린 대로 제가 통화한 내역이 있잖아요. 그것은 이미 통화한 내역은 기록이 되고 있어요. 그런데 지금 그게 문제가 아니라 통화하고 있지 않은 그러한 기록들도 계속 보관이 되고 있다고 하는 게 문제거든요. 그래서 이런 부분들은 법적인 근거가 없다고 보이고요. 그다음에 정보 주체는 내 정보가 어떻게 수집되고, 관리되는지 알 권리가 있거든요. 정보 주체에게도 투명하게 알려줄 필요가 있다고 생각합니다.
◇ 최형진: 알겠습니다. 지금 관련해서 또 이야기가 나오는 부분이 광화문 집회 당시 인근 기지국에 접속된 가입자 명단과 관련한 내용입니다. 최초에 질본에서 경찰청을 통해 정보제공을 요청했더니 통신 3사에서 모두 경찰청을 경유하는 방식은 거부하겠다, 이런 입장을 밝혔다가 SK텔레콤에서만 경찰을 경유해서 제공하고, 다른 통신사들은 각각의 방식으로 제공했습니다. 이런 차이는 왜 생기는 겁니까?
◆ 오병일: 제가 보기에는 감염병 예방목적으로 기지국 접속 정보를 수집하는 것 자체가 사실 법적 근거가 모호하기 때문인데요. 지금 감염병 예방법 제76조에 이에 따라서 개인정보들을 요청하도록 되어 있는데 1항은 감염병 환자나 의심자의 일반적인 개인정보를 요청할 수 있도록 하고 있고요. 2항은 위치정보를 요청할 수 있도록 하고 있는데, 이 경우에는 경찰을 통하도록 하고 있습니다. 그런데 아까 말씀드린 대로 기지국 접촉정보는 사실 특정 위치 기지국에 기록된 내 개인정보거든요. 개인정보로 보면 1항이 적용돼서 경찰을 경유하지 않아도 되고요. 위치정보로 본다고 하면 2항이 적용돼서 경찰을 경유해야 하는 거예요. 그러니까 이 해석이 아직 명확하지 않은 거고, 사실 우리가 확진을 받으면 내 과거 동선을 추적하잖아요. 이거는 특정한 나의 개인정보에 대한 위치를 추적하는 것이기 때문에 나에 대한 여러 가지 개인정보, 내 위치정보, 이런 것들이 명확한데요. 예를 들면 이태원 같은 경우에도 1만 명이 넘는 개인정보가 제공됐거든요. 이런 부분들은 사실 이게 감염병 예방법에 의해서 가능한지가 저는 모호한 상황이라고 생각합니다. 통신사들도 1항이냐, 2항이냐에 대한 해석도 모호하고요.
◇ 최형진: 조금 더 기준이 명확해야 한다, 이런 말씀이었고요. 그러면 다시 이야기를 처음으로 돌려서 지금 수기로 작성했다가 전화번호를 알고 술 마시자, 남자친구 있느냐, 이런 문자가 온다고 하거든요. 이런 부분에 대해서도 개인정보 유출로 처벌해야 하는 거 아닙니까?
◆ 오병일: 네, 개인정보보호법 위반 소지가 있죠.
◇ 최형진: 알겠습니다. 통신사뿐 아니라 구글이나 네이버, 카카오 등 국내외 인터넷 서비스 업체에서도 이런 위치정보를 수집하곤 하는데요. 그러면 이런 정보도 통신사에서 수집하는 개인정보와 다름없이 다뤄지고 있는 겁니까?
◆ 오병일: 그런데 위치정보가 조금 성격이 다른데요. 지금까지 이야기한 것은 기지국에 기록된 접속정보잖아요. 구글이나 네이버, 카카오 등은 이런 기지국을 가지고 있는 게 아니죠. 다만 이용자들이 자기의 스마트폰에 앱을 깔게 됐을 때 이 앱을 통해서 스마트폰에서 수집한 GPS 정보가 이런 서비스 업체들로 전송되는 거거든요. 아까 말씀드린 것은 기지국 접속정보고, 구글, 네이버, 카카오 등의 위치정보는 GPS 위치정보인 겁니다. 이것 역시 개인정보, 개인 위치정보고, 이용자의 동의가 있을 경우에만 수집을 할 수 있고요. 그다음에 위치정보법이라고 있는데, 이런 위치정보법의 적용을 받습니다.
◇ 최형진: 마지막으로 질문 드리겠습니다. 방통위에서 관련해서 위치정보 남용 현장조사를 실시한다고 합니다. 조사를 해봐야 알겠지만 다른 것도 아니고 개인정보, 게다가 이동을 확인할 수 있는 긴밀한 개인정보를 다루는 부분인데, 조금 더 촘촘한 제한이 필요하지 않을까요? 어떻게 보십니까?
◆ 오병일: 이게 방송위는 개인위치정보, 위치정보법 관할 부처이기 때문에 지금 조사를 한다고 하지만 위치정보법 위반에 관해서만 조사를 하게 되고요. 일반 개인정보로 봐서 일반 개인정보가 또 어떻게 수집되고, 처리되는지에 대한 조사는 개인정보보호 위원회가 해야 하거든요. 이것을 방통위만이 아니라 개인정보보호위원회도 함께 이런 실제 조사를 할 필요가 있지 않을까 생각을 합니다.
◇ 최형진: 네, 알겠습니다. 조금 더 촘촘히 개인정보관리 되어야 할 것 같습니다. 오늘 말씀 감사합니다.
◆ 오병일: 네, 감사합니다.
◇ 최형진: 지금까지 진보네트워크센터의 오병일 대표였습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
□ 방송일시 : 2020년 9월 9일 수요일
□ 진행 : 최형진 아나운서
□ 출연 : 오병일 진보네트워크센터 대표
- 수기 출입명부..4주후 파쇄 또는 소각토록 중대본 지침, 실행 여부는 알수 없어
행정력 못미쳐 매장에 일임돼있는 상황
- QR코드, 다른사람이 보진 못하지만 업체에 대규모로 기록돼 정보 누적 가능성
수기출입명부.. 다른사람이 볼순 있지만, 한시적일수 있어
- 이태원, 광화문집회 등 기지국 위치정보 활용, 개인정보보호법 위반 소지도
통화기록 아닌 단순 기지국 접속정보 보관하는 것은 법적 문제 있어
- 기지국 접속정보, 통신사..통화품질 내세우지만, 빅데이터 활용 등에 활용될 소지
투명하게 밝혀져야
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.
◇ 최형진 아나운서(이하 최형진): 1부는 현장의 목소리로 생활 속 이야기를 들어봅니다. 사회적 거리두기 2.5단계가 시행되면서 요즘 커피숍, 식당 등 어딜 가도 입장하기 전에 반드시 출입명부에 내 이름과 전화번호, 방역수칙 준수 여부를 기록하도록 돼있죠. 방역을 위해 전 국민이 협조하고 있는 부분인데요. 그런데 출입명부를 쓴 뒤 남모르는 전화번호로부터 남자친구는 있느냐, 술 사줄게 만나자 이런 문자를 받는다면 어떠시겠습니까. 하루에도 몇 번씩 쓰게 되는 내 이름과 전화번호가 어쩌면 악의적으로 이용될 수도 있지 않나? 이런 걱정이 드는 건데요. 방역을 위해 제공한 내 개인정보, 어떻게 처리되고 보관되는 걸까요? 괜찮을까요? 진보네트워크센터의 오병일 대표 연결돼 있습니다. 안녕하세요?
◆ 오병일 진보네트워크센터 대표(이하 오병일): 네, 안녕하세요.
◇ 최형진: 앞서 말씀드렸던 대로 식당이나 커피숍 등을 가게 되면 수기 방명록을 작성하게 되는데, 대표님도 QR코드나 수기 방명록 작성해보신 적 있으십니까?
◆ 오병일: 네, 그럼요. 그런데 저는 수기 방명록만 작성해봤습니다.
◇ 최형진: 수기 방명록 같은 경우에는 이렇게 안내가 되어 있습니다. 얼마의 기간 후에 폐기를 한다. 법으로 정해져 있는 보관기간이 있습니까?
◆ 오병일: 법으로 정해진 것은 아니고요. 중앙방역대책본부 안내문에 따르면 4주 보관 후에 폐기하도록 하고 있습니다.
◇ 최형진: 4주 후에는 파쇄 또는 소각을 해야 한다.
◆ 오병일: 네, 그렇죠.
◇ 최형진: QR코드를 사용하는 곳은 불안함이 덜한데, QR코드 사용이 의무가 아닌 곳도 많습니다. 그러면 이름과 전화번호 같은 개인정보를 수기 방명록에 써야 하는데, 이렇게 쓰다 보면요. 제 앞에 온 사람들 정보가 그대로 보입니다. 개인정보보호에는 취약한 부분이 아닌가 싶은데, 보관기관 이외에 수기 방명록 관리에 대한 지침이 따로 있습니까?
◆ 오병일: 방명록 관리에 대한 지침이 따로 있는 것은 아니고, 중앙대착방역본부에서 여러 가지 시설에 대한 지침을 내리는데, 여기에 방명록에 대한 부분도 있고요. 방명록을 작성하는데, QR코드, 혹은 수기 방명록으로 하게 되어 있고. 수기 방명록 작성 시에도 신분증을 확인하도록 되어 있는데, 실제 그렇게 운영되고 있지는 않죠. 대부분.
◇ 최형진: 신분증을 내민 적은 없었던 것 같습니다.
◆ 오병일: 네, 맞습니다. 실제 매장에서는 다들 바쁘시니까, 서비스하시느라고 확인할 그런 상황 자체가 안 되는 것 같습니다.
◇ 최형진: 그렇군요. 중요한 부분인데, 앞서 말씀주셨던 것처럼 4주 후에 제대로 파쇄나 소각이 되는지, 사실 알 수 없는 부분 아니겠습니까? 현장점검 등도 필요할 것 같은데 어떻게 보십니까?
◆ 오병일: 지자체에서는 현장점검 자체가 힘든 것 같고요. 지자체도 여러 가지 역학조사라든가, 대응에 바쁘고 인력은 한정되어 있기 때문에 이런 것들이 제대로 이루어지고 있지 않은 것으로 알고 있고. 실제 매장에서 자율적으로 폐기하기를 바라야 하는 그런 상황입니다. 제가 보기에는 이런 수기 방명록만 문제가 아니라 예를 들면 QR코드도 수기 방명록과 같은 문제가 발생하지는 않겠지만 또 다른 측면에서 위험할 수 있는데요. 예를 들면 거기에는 대량으로 개인정보가 축적이 되는 거잖아요. 그러한 개인정보가 유출된다든가, 혹은 다른 목적으로 활용될 수도 있는 거고요. 그다음에 우리가 생각을 해봐야 할 게 QR코드든, 수기든, 사실 내 행적이 언제든지 추적될 수 있도록 기록을 하는 거잖아요. 의무가 되는 거란 말이죠. 그런데 감염병 환자나 의심자 뿐만 아니라 전 시민을 대상으로 한다는 점에서 일반적인 감시라고 볼 수 있고요. 이게 예를 들면 어떤 식당에 왔을 때 혹시 이 식당에서 문제가 생기면 당신에게 정보를 제공해주겠다, 검사를 받아보라고 한다든가. 그러면 이런 정보를 받기 위해서 진정한 동의하에 작성된 것이 아니라 강제가 되는 거잖아요, 의무적으로. 그렇기 때문에 이런 일반 시민에 대한 강제조치는 사실은 감염병 위기 상황에서도 최소화될 필요가 있거든요. 반드시 필요한 한도 내에서. 지금까지는 법적 근거도 없고, 그런 안전장치에 대한 검토 없이, 그리고 실효성에 대한 검토 없이 일단 추진되어 왔다는 데 문제가 있는 것 같고요. 실효성까지 포함해서 이런 부분에 대한 면밀한 검토가 필요하지 않을까 싶습니다.
◇ 최형진: 일단은 어떤 행정력의 부재 때문에 수기 방명록 관리에 대한 점검 등이 현재는 매장에 일임되어 있는 상태군요?
◆ 오병일: 네, 그런 거죠.
◇ 최형진: 이태원 클럽 상황 이후로 또 하나 관심을 갖게 된 부분이 통신사 기지국을 통한 위치정보에 대한 건데요. 이태원 클럽이나 최근 광화문 집회 관련해서도 방문자들을 확인하기 위한 방법으로 기지국 위치정보를 활용했습니다. 방역에 큰 도움이 됐다고 평가되고 있는데, 이게 어떤 원리입니까?
◆ 오병일: 우리가 휴대전화를 사용할 때 실제로 통화를 하고 있지 않아도 제 휴대전화는 제 주변에 있는 기지국하고 계속 신호를 주고받고 있습니다. 언제든지 통화를 할 수 있게 하기 위해서는요. 그래서 기지국에는 내 휴대전화와 관련된 정보들이 남게 되겠죠. 이런 것들이 물론 신호 소통만 하고, 기록을 안 할 수도 있는데, 지금 통신사에서 내가 통화하고 있지 않을 때도 내 휴대전화와 주고받은 정보를 기록을 하고 있다는 거예요. 그러면 내 위치정보가 기록된다기보다는 특정 위치에 있는 기지국에 내 정보가 기록되는 거잖아요. 그래서 특정 기지국에 기록된 정보들을 보면 이 특정 시점에 이 기지국 주변에 누가 있었구나, 하는 것들을 파악을 할 수 있는 것이죠. 결과적으로 내가 그 위치에 있었다는 것이 알려질 수 있는 상황인 것입니다.
◇ 최형진: 사실 이런 것이 있는 것인지 예전에는 몰랐거든요. 나의 위치정보가 통신사에 보관되어 있다고 하는 것을 이번 코로나19 이후로 알게 된 분들도 많습니다. 일반적으로 통신사 가입자들에게는 안내가 안 되는 것으로 알고 있는데, 어떻습니까?
◆ 오병일: 이게 통신사 홈페이지를 보시면 개인정보 처리방침이라고 있거든요. 여기에 보시면 어떤 개인정보를 수집하는지가 나와 있는데, 수많은 개인정보들이 있죠. 그리고 직접 이용자가 제출하는 정보도 있고, 통신과정에서, 서비스 이용과정에서 생성되는 정보들도 있거든요. 이중에 기지국 정보라든가, GPS 정보 같은 개인정보 위치정보도 포함되어 있습니다. 그래서 가입할 때도 당연히 이런 개인정보 처리방침에 대한 동의를 하게 되고요. 그래서 통신사들은 우리는 동의를 받았다, 이렇게 이야기를 할 수 있겠지만 이용자들이 이런 것들을 일일이 인식하고 있지는 않은 거죠. 그런데 더 큰 문제는 이렇게 기지국 정보를 보관하는 게 통신서비스 제공을 위해서 필수적인가 하는 부분이에요. 서비스 제공에 필수적인 정보라고 하면 당연히 제공을 하거나 생성될 수 있는 거 아니에요? 그런데 거기에 대해서 이용자가 이의를 제기할 필요는 없을 것 같은데, 그런데 내 휴대전화와 기지국이 아까 말씀드렸던 대로 신호를 주고받는다고 하더라도 이게 내가 실제로 통화한 기록이 아니면 굳이 남겨놓을 필요가 없거든요. 그러면 동의를 받아서 수집을 할 수는 있지만 이게 서비스 제공을 위한 필수정보가 아니면 별도의 동의를 받아야 합니다. 그런데 지금까지는 사실 별도의 동의를 받지 않았죠, 통신사들이. 처음에 가입할 때 일반적인 개인정보에 대한 동의는 받았지만 별도의 동의를 받지는 않았죠. 그래서 개인정보보호법 위반의 소지도 있다고 생각합니다.
◇ 최형진: 이게 나의 개인정보지 않습니까? 내가 어디에 갔는지 개인적으로도 확인이 가능한 건가요?
◆ 오병일: 물론 확인 가능할 수 있죠. 결국 통신사의 입장에서는 여러 기지국에 기록된 내 정보들을 한꺼번에 파악을 할 수 있잖아요. 그러면 내가 어떤 경로를 거쳐서 이동을 했는지, 이런 것들이 다 파악 가능합니다.
◇ 최형진: 그러면 조금 악용될 소지도 있을 것 같습니다.
◆ 오병일: 물론이죠. 이거는 악용이라는 것이 예를 들면 자신도 모르게 개인위치정보를 다른 영리적 목적으로 이용하는 것도 악용일 수 있는 거잖아요. 그것까지 포함을 한다고 하면, 혹은 자신도 모르게 제삼자에게 제공될 수도 있는 거고요. 그래서 위치정보는 사실은 아주 민감한 정보잖아요. 왜냐하면 내 일거수일투족을 알 수 있는 거니까. 그래서 많은 문제가 있는 거죠.
◇ 최형진: 지금 몇몇 애청자 분께서 질문을 해주고 계신데요. 애플리케이션으로 “패스트푸드점에 방문하는데 QR코드가 없어서 개인정보 누출이 심할 정도여서 패스트푸드점은 방문을 못하고 있습니다. QR코드로 전환하면 어떨까요?” 이런 의견인데요. 아무래도 QR코드가 수기 방명록보다는 훨씬 더 안전한 것이죠?
◆ 오병일: 아까 말씀드린 대로 서로 취약점과 강점이 다른 거거든요. QR코드 같은 경우는 수기처럼 다른 이용자들이 바로 보기에는 힘들겠죠. 다만 대규모로 기록이 되기 때문에 그 차원에서 문제가 있을 수 있는 거고. 수기는 다른 사람에 노출될 수 있지만, 그 업체에 기록된 것에 한정되잖아요. 그런 측면에서는 사회적으로 보면 큰 위험성이 덜하다고 볼 수 있는데, 지금 QR코드 같은 경우는 일부 사업장에 대해서만 의무화되고 있는 것으로 알고 있어요. 그 사업장에서도 QR코드 외에도 물론 수기를 원할 경우에는 수기로 작성할 수 있도록 하고 있지만 말이죠. 왜냐하면 QR코드를 사용하지 못하시는 분들도 있을 수 있거든요. QR코드를 특히 위험시설 같은 경우는 강제를 하고 있는데, QR코드 외에도 수기도 병행하도록 하고 있고. 그 외의 사업장에서는 QR코드를 도입할 것인가 여부가 자율적으로 맡겨져 있는 상황인 거죠.
◇ 최형진: 네. 지금 위치정보가 보관이 되고 있습니다. 그런데 보관기간을 보면 통신사별로 차이가 있는 것으로 알고 있거든요. 3개월에서 6개월 정도인데, 보관기간이 통신사마다 차이가 있는 이유가 뭘까요?
◆ 오병일: 이게 원래 저희가 통화한 내역이 있잖아요. 이것이 통신사실 확인자료라고 하는데, 이것은 통신비밀보호법에서 보관기간이 의무화되어 있습니다. 예를 들어서 통화내역은 12개월, 인터넷 로그 기록이라든가, 기기 위치정보는 3개월인데요. 지금 말씀드린 기지국 접속정보는 사실 실제 통신을 하지 않은 경우에도 기록이 되기 때문에 통신사실 확인자료라고 할 수 없고, 법적으로 기록을 의무적으로 해야 하거나 기간이 정해져 있는 것도 아니거든요. 그러니까 통신사 편의에 따라서 기간을 설정하고 있는 거죠.
◇ 최형진: 그러면 3개월에서 6개월이 지난 정보는 확실하게 폐기가 되고 있습니까?
◆ 오병일: 그것은 역시 통신사에 일임되고 있는 건데, 그것은 통신사가 자신들이 그렇게 예를 들면 3개월 보관하고 있다고 약관에 명시를 하고 있기 때문에 그렇게 적용하지 않으면 약관 위반이 되는 거죠.
◇ 최형진: 일각에서는 이번 기지국 위치정보 제공 과정에서 이동통신사들끼리 빅데이터 활용을 위해서 가입자들의 휴대전화 위치정보를 몰래 축적해왔다, 이런 주장도 있는데요. 감염병 방역 목적으로만 활용되고 있는지 확인이 되는 부분입니까?
◆ 오병일: 이런 기지국 접속정보가 감염병 방역목적으로 수집하고 있는 게 아니거든요. 수집된 게 있기 때문에 방역목적으로 활용을 요청해서 제공을 받은 거죠. 그러니까 감염병 방역 목적과 무관하게 어쨌든 통신사들은 이런 기지국 위치정보를 수집해왔던 거고요. 이런 것이 아까 말씀드렸지만 이게 제가 통화한 내역이라고 하면 옛날부터 보관을 해왔는데, 통화하지 않을 때의 기지국 접속정보도 보관하고 있는 것은 사실 저도 최근에 알게 됐거든요. 그러니까 알려지지 않았던 거고. 이런 것들이 이제는 통신사들은 통화품질 불만이라든가, 이런 문의 때문에 보관을 하고 있다고 이야기를 하고 있는데, 그 목적뿐만 아니라 여러 가지 빅데이터 활용이라든가, 이런 목적으로 활용될 가능성들이 있는 거죠. 그런 것들이 실제로 어떻게 활용되고 있는지가 아직 투명하게 밝혀지지 않고 있기 때문에 확실하게 제가 말씀드리기는 힘들 것 같습니다.
◇ 최형진: 이게 사실 개인정보의 유출이 걱정되고, 우려되기는 합니다만 일단 감염병 방역목적이나 또 범죄사실을 소명해야 할 때는 이런 부분도 필요하지 않겠습니까?
◆ 오병일: 아까 말씀드린 대로 제가 통화한 내역이 있잖아요. 그것은 이미 통화한 내역은 기록이 되고 있어요. 그런데 지금 그게 문제가 아니라 통화하고 있지 않은 그러한 기록들도 계속 보관이 되고 있다고 하는 게 문제거든요. 그래서 이런 부분들은 법적인 근거가 없다고 보이고요. 그다음에 정보 주체는 내 정보가 어떻게 수집되고, 관리되는지 알 권리가 있거든요. 정보 주체에게도 투명하게 알려줄 필요가 있다고 생각합니다.
◇ 최형진: 알겠습니다. 지금 관련해서 또 이야기가 나오는 부분이 광화문 집회 당시 인근 기지국에 접속된 가입자 명단과 관련한 내용입니다. 최초에 질본에서 경찰청을 통해 정보제공을 요청했더니 통신 3사에서 모두 경찰청을 경유하는 방식은 거부하겠다, 이런 입장을 밝혔다가 SK텔레콤에서만 경찰을 경유해서 제공하고, 다른 통신사들은 각각의 방식으로 제공했습니다. 이런 차이는 왜 생기는 겁니까?
◆ 오병일: 제가 보기에는 감염병 예방목적으로 기지국 접속 정보를 수집하는 것 자체가 사실 법적 근거가 모호하기 때문인데요. 지금 감염병 예방법 제76조에 이에 따라서 개인정보들을 요청하도록 되어 있는데 1항은 감염병 환자나 의심자의 일반적인 개인정보를 요청할 수 있도록 하고 있고요. 2항은 위치정보를 요청할 수 있도록 하고 있는데, 이 경우에는 경찰을 통하도록 하고 있습니다. 그런데 아까 말씀드린 대로 기지국 접촉정보는 사실 특정 위치 기지국에 기록된 내 개인정보거든요. 개인정보로 보면 1항이 적용돼서 경찰을 경유하지 않아도 되고요. 위치정보로 본다고 하면 2항이 적용돼서 경찰을 경유해야 하는 거예요. 그러니까 이 해석이 아직 명확하지 않은 거고, 사실 우리가 확진을 받으면 내 과거 동선을 추적하잖아요. 이거는 특정한 나의 개인정보에 대한 위치를 추적하는 것이기 때문에 나에 대한 여러 가지 개인정보, 내 위치정보, 이런 것들이 명확한데요. 예를 들면 이태원 같은 경우에도 1만 명이 넘는 개인정보가 제공됐거든요. 이런 부분들은 사실 이게 감염병 예방법에 의해서 가능한지가 저는 모호한 상황이라고 생각합니다. 통신사들도 1항이냐, 2항이냐에 대한 해석도 모호하고요.
◇ 최형진: 조금 더 기준이 명확해야 한다, 이런 말씀이었고요. 그러면 다시 이야기를 처음으로 돌려서 지금 수기로 작성했다가 전화번호를 알고 술 마시자, 남자친구 있느냐, 이런 문자가 온다고 하거든요. 이런 부분에 대해서도 개인정보 유출로 처벌해야 하는 거 아닙니까?
◆ 오병일: 네, 개인정보보호법 위반 소지가 있죠.
◇ 최형진: 알겠습니다. 통신사뿐 아니라 구글이나 네이버, 카카오 등 국내외 인터넷 서비스 업체에서도 이런 위치정보를 수집하곤 하는데요. 그러면 이런 정보도 통신사에서 수집하는 개인정보와 다름없이 다뤄지고 있는 겁니까?
◆ 오병일: 그런데 위치정보가 조금 성격이 다른데요. 지금까지 이야기한 것은 기지국에 기록된 접속정보잖아요. 구글이나 네이버, 카카오 등은 이런 기지국을 가지고 있는 게 아니죠. 다만 이용자들이 자기의 스마트폰에 앱을 깔게 됐을 때 이 앱을 통해서 스마트폰에서 수집한 GPS 정보가 이런 서비스 업체들로 전송되는 거거든요. 아까 말씀드린 것은 기지국 접속정보고, 구글, 네이버, 카카오 등의 위치정보는 GPS 위치정보인 겁니다. 이것 역시 개인정보, 개인 위치정보고, 이용자의 동의가 있을 경우에만 수집을 할 수 있고요. 그다음에 위치정보법이라고 있는데, 이런 위치정보법의 적용을 받습니다.
◇ 최형진: 마지막으로 질문 드리겠습니다. 방통위에서 관련해서 위치정보 남용 현장조사를 실시한다고 합니다. 조사를 해봐야 알겠지만 다른 것도 아니고 개인정보, 게다가 이동을 확인할 수 있는 긴밀한 개인정보를 다루는 부분인데, 조금 더 촘촘한 제한이 필요하지 않을까요? 어떻게 보십니까?
◆ 오병일: 이게 방송위는 개인위치정보, 위치정보법 관할 부처이기 때문에 지금 조사를 한다고 하지만 위치정보법 위반에 관해서만 조사를 하게 되고요. 일반 개인정보로 봐서 일반 개인정보가 또 어떻게 수집되고, 처리되는지에 대한 조사는 개인정보보호 위원회가 해야 하거든요. 이것을 방통위만이 아니라 개인정보보호위원회도 함께 이런 실제 조사를 할 필요가 있지 않을까 생각을 합니다.
◇ 최형진: 네, 알겠습니다. 조금 더 촘촘히 개인정보관리 되어야 할 것 같습니다. 오늘 말씀 감사합니다.
◆ 오병일: 네, 감사합니다.
◇ 최형진: 지금까지 진보네트워크센터의 오병일 대표였습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]