이승연 아나운서 ▶ 어떤 내용을 검색할 때, 키워드를 이용하면 원하는 정보를 쉽게 얻을 수 있죠. 그래서 준비했습니다. 심유철 기자의 키워드 포착. 오늘도 쿠키뉴스 심유철 기자 나와 있습니다. 안녕하세요.

심유철 기자 ▷ 네. 안녕하세요. 키워드 포착의 심유철 기자입니다.

이승연 아나운서 ▶ 네. 항상 키워드를 먼저 제시해주시는데요. 오늘 제시해 주실 키워드는 무엇인가요?

심유철 기자 ▷ 네. 오늘 제가 제시할 키워드는, 개인정보 무단 도용입니다. 

이승연 아나운서 ▶ 네. 요즘은 개인정보는 자신만의 비밀이 아니라는 말이 있을 정도로, 개인 정보가 쉽게 유출되고 또 무단으로 사용되는 일이 많은데요. 어떤 경로를 통해 개인정보가 유출되는 건지, 법적으로 막을 방법은 없는지. 또 그 피해를 최소화하려면 어떻게 해야 하는지 까지 자세히 알아보겠습니다. 심유철 기자, 이 개인정보라는 건, 어느 선까지를 말하는 건가요?

심유철 기자 ▷ 거의 대부분의 내용이 포함됩니다. 개인의 성명과 주민등록번호, 주소와 같은 인적 사항뿐만 아니라, 사회, 경제적 지위 및 상태, 신체, 교육, 보건, 의료, 문화 활동 및 정치적 성향과 같은 내면의 비밀이 모두 개인정보에 해당하는 것이죠.

이승연 아나운서 ▶ 그러니까 나의 모든 것이라고 불러도 될 정도의 개인정보가 자신도 모르게 떠돌아다니고, 또 도용되고 있는 건데요. 우리가 웹사이트 회원 가입을 할 때면, 몇 번의 동의를 거치게 되는데요. 대부분 나오는 동의 버튼은 다 누르게 되잖아요. 그런데 그렇게 되면 자신의 개인정보가 유출되면서 공유되는 건가요? 

심유철 기자 ▷ 네. 무조건 다 그런 건 아니지만요. 사이트에 가입할 때 보통 그렇게 쓱쓱 동의하고 넘어가는 조항 중에는 내 개인정보를 제3자가 쓸 수 있다는 내용이 포함되어 있을 가능성이 큽니다.

이승연 아나운서 ▶ 그럼 저도 모르게 활용에 동의한 적이 있을 수 있겠네요. 그럼 어떤 경우, 내 개인정보를 제3자가 사용할 수 있는 건가요?

심유철 기자 ▷ 거기에는 두 가지 경우가 있습니다. 현행법상 업무 위탁일 때와 제 3자 제공일 때로 구분되는데요. 그 구분 기준은 개인정보를 넘겨받은 제 3자가 자신의 이익을 위해 사용하느냐 입니다.

이승연 아나운서 ▶ 개인정보를 넘겨받는 제 3자가 자신의 이익을 위해 사용한다는 말이 좀 어려워요. 구체적으로 예를 들어 알려주세요.

심유철 기자 ▷ 네. 예를 들어 설명 드릴게요. 보통 여성분들이 출산을 위해 산부인과를 찾게 되면, 자신의 개인정보를 병원에 제공하게 되죠. 그리고 산부인과에서는 병원과 연계된 사진관에 산모의 개인정보를 다 넘깁니다. 그리고 사진관은 홍보를 위해 그 개인정보를 활용하게 되는데요. 산부인과로부터 개인정보를 받은 사진관은 오로지 사진관의 이익을 위해서 정보를 활용했으므로, 제3자 제공에 해당합니다. 하지만, 배송 대행업체처럼 오로지 개인정보를 준 업체를 위해서만 사용한다면, 그건 업무위탁인 겁니다.

이승연 아나운서 ▶ 업무위탁이나 제 3자 제공에 있어서, 개인의 동의는 필요 없는 건가요?

심유철 기자 ▷ 업무위탁은 개인의 동의가 필요 없지만, 제3자 제공일 경우는 반드시 동의가 필요합니다. 특히 제 3자에 제공할 때는, 동의를 얻기 전에 미리 개인정보를 누구에게, 어떤 정보를, 언제까지, 왜 제공하는지 명확하게 알려줘야 합니다. 

이승연 아나운서 ▶ 만약 그 내용을 지키지 않았거나, 동의 없이 개인정보를 제3자에게 제공했다면요? 그럴 경우는 어떤 처벌을 받게 되나요?

심유철 기자 ▷ 그럴 경우, 법적인 제재가 가해지고요. 5년 이하의 징역이나 5천만 원 이하의 벌금을 받게 됩니다.

이승연 아나운서 ▶ 네. 저도 여러 사이트에 가입해 봤지만, 제 3자 제공에 대한 동의는 거의 대부분 받는 것 같아요. 그런데 그 동의가 강제성은 없다는 거죠?

심유철 기자 ▷ 네. 그렇습니다. 제 3자 제공 동의는 강제사항이거나 필수가 아닙니다. 업체 측에서도 동의를 안 했을 때 받을 수 있는 불이익에 대해서 설명할 수는 있지만요. 최종적으로 동의하고 말고는 개인의 자유입니다. 

이승연 아나운서 ▶ 그럼 웹사이트의 경우, 회원 가입하는 과정에서 제3자 제공에 동의 안 했다고 해서 해당 사이트의 가입을 하지 못하도록 막았다면, 그건 불법인 건가요?

심유철 기자 ▷ 네. 그건 확실한 불법 행위입니다.

이승연 아나운서 ▶ 그러니까 정리하면, 필수적이지 않은 개인정보의 제3자 제공이나 위탁에 동의하지 않더라도, 해당 서비스 제공을 거부해서는 안 된다는 건데요. 그런데 이상하게 3자 제공에 동의하지 않으면, 가입조차 안 되도록 하는 온라인 사이트가 여전히 많아요. 그래서 그 정보 제공이 의무라고 생각하는 경우도 많고요. 

심유철 기자 ▷ 네. 당연히 동의를 해야 사이트 가입이 되는 것으로 알고 계시는 분들이 많은데요. 오늘 이 시간을 통해 정확히 알아두시기 바랍니다. 웹사이트에 회원 가입하는 과정에서 제3자 제공에 동의하지 않는다고 해서 사이트 가입을 막는 건 불법입니다.

이승연 아나운서 ▶ 네. 그리고 그 정보가 순수하게 이용되지 않는다는 점 또한 문제인 것 같아요. 무심결에 제3자 제공에 동의한 내 개인정보가 일부 업체의 돈벌이에 활용되기도 하잖아요.

심유철 기자 ▷ 그렇습니다. 사실 그게 가장 큰 문제죠. 법에서 정한 공시 의무만 지킨다면 동의 받은 개인정보를 돈 받고 제3자에게 팔아도 마땅히 제재할 근거가 없는데요. 현재 운영 중인 웹사이트 가운데는 개인정보를 제공할 수 있다고 밝힌 제3자 업체 수가 70곳이 넘는 곳도 있습니다. 개인정보 한 사람당 3천 원꼴로 거래되는 현실을 고려하면, 내가 제3자 제공에 동의한 순간, 그 업체는 이를 70군데에 팔아서 합법적으로 21만 원을 벌 수 있게 되는 것이죠.

이승연 아나운서 ▶ 왜 내 개인정보를 받아서 다른 업체에 넘기는 건지. 그게 왜 합법인 건지 모르겠어요. 하지만 실제로 그런 경우가 많죠?

심유철 기자 ▷ 네. 그 대표적인 사례가 홈플러스입니다. 홈플러스는 2011년부터 2014년까지 11번의 경품 행사로 모은 개인정보 2,400만여 건을, 보험사에 231억 7천만 원의 돈을 받고 팔았습니다. 

이승연 아나운서 ▶ 맞아요. 마트 경품 행사에 응모했다가, 황당하게도 보험사로부터 보험 가입 전화를 받은 분들 많으실 텐데요. 그런 행위가 불법이 아니라는 건가요?

심유철 기자 ▷ 그렇습니다. 홈플러스는 개인정보 무단 유출 혐의를 받아 최근 2심 법원까지 갔지만, 연달아 무죄를 받았습니다.

이승연 아나운서 ▶ 무죄의 근거가 뭔가요?

심유철 기자 ▷ 경품 응모권에 해당 내용을 표시했다는 겁니다. 개인정보를 제3자에 유상 판매할 수 있다는 사항을 1mm 크기의 글자로 기재해놓았거든요. 검찰은 1mm의 글자로 표시한 것은 소비자를 기만한 행위라고 주장했지만, 재판에서 그 주장은 받아들여지지 않았습니다. 결국 무죄를 선고받았죠.

이승연 아나운서 ▶ 알아보지도 못하게 표시를 해놓고, 표시를 했기 때문에 죄가 없다. 이건 한 번 다시 생각해봐야 할 문제인 것 같은데요. 심기자, 홈플러스의 경우, 작지만 표시를 했으니 무죄다. 그렇다면 유죄 판결을 받은 경우는 없는 건가요?

심유철 기자 ▷ 반쪽짜리 유죄 판결이 있긴 합니다. 롯데 홈쇼핑은 지난 2007년 7월부터 2014년 3월까지 324만 762명 중 2만 9628명의 개인정보를 동의 없이, 무단으로 보험회사에 팔아 37억 3600만원을 챙겼는데요. 과징금은 고작 1억 8000만원에 그쳤습니다.

이승연 아나운서 ▶ 왜 그렇게 약한 처벌을 받은 건지 궁금해요.

심유철 기자 ▷ 롯데홈쇼핑은 약 324만 명의 정보를 팔았지만, 제3자 제공 동의를 받지 않은 2만 9000여명에 대한 부분만 처벌을 받게 된 겁니다. 앞서도 이야기했지만, 제 3자 제공에 대한 사전 동의만 받는다면, 수수료를 받고 고객 정보를 되팔아도 불법으로 규정할 근거가 부족한 셈이죠.

이승연 아나운서 ▶ 네. 개인정보를 팔아도 불법이 아닌 현실. 관련 법 개정이 시급해 보이는데요. 그리고 이동통신 및 포털 등 주요 위치 정보 사업자의 부실한 개인정보 보호 시스템도 문제인 것 같아요. 저도 가끔 놀랄 때가 많거든요. 제 위치 정보를 정확히 알고, 해당 지역 광고가 나와서요.

심유철 기자 ▷ 네. 포털에서 위치 정보를 수집해 이용하는 건데요. 컴퓨터나 스마트폰으로 접속한 지역을 파악해, 해당 지역의 날씨, 소식, 광고 등을 자동으로 보이게 만드는 겁니다.

이승연 아나운서 ▶ 그러니까요. 신기할 정도로 정확히 알고 있더라고요. 자신의 다른 서비스, 마케팅을 위해 고객의 위치 정보를 수집하는 게 당연한 걸까요? 포털 측에서는 그에 대해 뭐라고 이야기하고 있나요?

심유철 기자 ▷ 네이버 측은 위치정보 수집에 아무런 법적 하자가 없다고 말하고 있습니다. IP정보의 경우 자동 생성된 정보로, 이용자의 동의 없이 수집이 가능하다는 거죠. 또 IP 기반의 지역 타깃 광고는 네이버, 다음, 구글, 페이스북 등 기업에서 사용하고 있는 범용화 된 광고 방식이기 때문에, 문제가 없다는 입장입니다. 네이버 뿐 아니라 다음이나 카카오 역시 별 문제가 없는 것으로 알고 있다고 답했고요.

이승연 아나운서 ▶ 정말 그런가요? 법적으로 문제가 되지 않는 건가요?

심유철 기자 ▷ 위치정보의 보호 및 이용 등에 관한 법률에서는 위치 정보의 수집, 이용, 제공 등과 관련해 개인 위치 정보 주체 즉, 이용자 개개인의 별도 동의를 구하도록 하고 있습니다. 그러니 이들에 대한 별도의 동의 없이 이용자의 위치 정보 등을 수집, 이용, 제공하는 것은 불법일 가능성이 높죠.

이승연 아나운서 ▶ 물론 그 내용에 동의한 경우도 있겠지만, 그렇지 않은 경우도 있을 텐데요.

심유철 기자 ▷ 네. 개인정보를 수집할 수 있는 경우는 크게 당사자의 동의와 법률에 의한 경우 등 두 가지로 나눌 수 있는데요. 만약 로그인을 하지 않은 상태거나 회원 가입이 되어 있지 않은 상태에서 정보를 수집한 것이라면, 그건 위법으로 볼 수 있습니다.

이승연 아나운서 ▶ 네. 물론 IP정보가 특정 개인을 지칭하지는 않지만, 그 내용을 활용한 광고는 특정인을 타깃으로 삼고 있잖아요. 또 그 부분에 대해서 해당 업체가 사용자의 동의를 얻은 적도 없고요. 그렇게 사전 동의 없는 마케팅 활용은 논란의 소지가 높은 것 같은데, 어떤가요?

심유철 기자 ▷ 그렇죠. 최근 위치정보를 활용한 앱을 심심찮게 발견할 수 있지만, 이들은 설치와 동시에 위치 정보 마케팅 활용 동의 여부를 묻습니다. 그리고 이용자가 그에 동의할 경우, 위치 정보 기반으로 알림창 내지는 푸쉬 형태로 광고가 노출되는 식이죠.

이승연 아나운서 ▶ 반대로, 별도의 동의가 없는 위치 정보 활용은 불법일 가능성이 높은 거고요.

심유철 기자 ▷ 네. 위치 정보에 기반해 마케팅을 하는 앱 개발 업체는, 위치 정보에 대한 개인 위치 정보 주체의 별도의 동의를 받아야 합니다. 또 실제로 그러한 절차를 준수해 이용자의 위치정보를 수집, 이용, 제공하고 있고요. 그렇지 않다면 불법입니다. 

이승연 아나운서 ▶ 네. 개인 정보 무단 사용에 대해 이야기 나누고 있는 키워드 포착 함께 하고 계십니다. 앞서 이야기한 대로, 본인이 정보 제공에 동의했다면, 제 3자에게 개인정보 제공이 가능한 거죠. 그건 불법이 아닌 겁니다. 하지만 그렇게 직접 제공하지 않더라도, 보안에 신경을 써야 하는데요. 보안에 문제가 생겨, 개인정보가 유출되는 경우도 있죠?

심유철 기자 ▷ 네. KT, LG유플러스, 다음, 티켓몬스터, 위메프, 옐로쇼핑미디어 등 업체들을 대상으로 조사를 진행한 결과, SK텔레콤과 네이버, 카카오의 위치찾기, 택시 서비스 등 주요 위치 정보 서비스에 문제가 있는 것으로 확인됐습니다. 주소와 동선 등 민감한 개인정보인 위치 정보가 방화벽이나 암호화 등 보안 조치 없이 보관되고 있는 것으로 나타난 것이죠.

이승연 아나운서 ▶ 네. 그렇게 암호화 같은 기본적인 보안 조치조차 없다면, 당연히 정보는 유출될 확률이 높아지겠죠. 또 불법으로 개인정보가 유통되어, 범죄에 악용되는 경우도 있잖아요.

심유철 기자 ▷ 네. 얼마 전, 불법 유통된 13만 명의 개인정보를 이용해 모바일게임에 가입해 뒤 무료 제공되는 사이버머니를 판매해 10억여 원을 챙긴 일당이 경찰에 적발됐는데요. 그들은 유명 검색 사이트 계정과 비밀번호, 주민등록번호, 휴대전화 고유 일련번호 등이 포함된 개인정보 13만 건을 구입한 뒤, 모바일 포커게임 어플 가입 시 무료로 제공되는 사이버머니를 모아 이용자들에게 판매했습니다.

이승연 아나운서 ▶ 네. 개인정보 유출과 무단도용에 대한 문제가 커지면서, 정부에서도 나름 대책을 내어놓은 것으로 알고 있는데요. 심기자, 어떤 움직임이 진행되고 있나요?

심유철 기자 ▷ 빅 데이터와 개인정보 비식별 조치 가이드라인입니다. 빅 데이터는 일상생활에서 발생하는 수많은 데이터를 합리적으로 분류, 분석하여 그 분야에서 유의미한 결과물을 얻는 것이고요. 개인정보 비식별 조치 가이드라인은, 개인정보라고 하더라도 비식별 조치. 즉 익명화를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있게 하는 것입니다.

이승연 아나운서 ▶ 말이 좀 어려워요. 좀 더 구체적으로 살펴봐야 할 것 같은데요. 예를 들어 알려주세요. 그 빅 데이터를 개인정보 위반 없이 어떻게 활용한다는 건가요?

심유철 기자 ▷ 네. 금융권을 예로 들어 알려드릴게요. 올해 하반기 중, 금융회사들이 방대한 양의 빅 데이터를 개인정보 위반 우려 없이 활용할 수 있도록 관련 가이드라인이 개선됩니다. 빅 데이터 구축을 돕기 위해 마련된 개인정보 비식별조치 가이드라인 개정안을 만들어 개인정보 취급 업무에 적용하겠다는 것이죠.

이승연 아나운서 ▶ 현재 금융권의 빅 데이터 전문기관은 어디인가요?

심유철 기자 ▷ 현재는 금융보안원과 한국신용정보원 2곳으로 지정돼 있습니다. 행정자치부와 방송통신위원회는 한국인터넷진흥원을, 미래부는 한국정보화진흥원을 빅데이터 전문기관으로 두고 있고요. 복지부는 사회보장정보원, 교육부는 한국교육학술정보원을 전문기관으로 지정한 상태입니다.

이승연 아나운서 ▶ 그 빅 데이터 전문기관은 어떤 역할을 하는 건지도 궁금해요.

심유철 기자 ▷ 해당 업권 기업의 비식별 정보. 누군지 알아볼 수 없는 정보를 결합해 빅 데이터 구축을 돕는 역할을 하고 있습니다. 예를 들어, A 은행과 B 보험사는 상대가 지닌 정보를 가져와 빅 데이터에 활용하려 하는데요. 이 때 그 두 회사는 상호 합의를 통해 각기 지니고 있던 비식별 정보를 금융보안원이나 신용정보원에 넘기기만 하면 됩니다. 그러면 양 기관은 받은 정보를 결합해 두 회사에 되돌려 주고요. 

이승연 아나운서 ▶ 직접적으로 공개되어 있는 개인정보를 넘기는 것이 아니라, 비식별정보. 그러니까 그 정보가 누구 정보인지 알 수 없는 정보를 빅 데이터 전문기관인 금융보안원이나 신용정보원에 넘기면, 그 정보와 상대 정보가 결합된 제3의 데이터가 빅 데이터에 활용되는 구조인 거죠? 그 활용도는 어떤가요?

심유철 기자 ▷ 아직 활용도는 그다지 높지 않습니다. 사실 지금까지 각 업계 빅데이터 담당자들은 비식별조치 가이드라인의 실효성을 의심해, 적극적으로 정보 융합에 나서지 않았는데요. 실제로 지난해 금융보안원이 수행한 정보 집합물 결합은 2건에 그쳤고요. 올해 들어서는 1건의 융합 신청이 들어왔을 뿐입니다. 또 다른 금융권 빅데이터 전문기관인 한국신용정보원은 지난해 1건, 올해 2건을 추진 중이고요.

이승연 아나운서 ▶ 빅 데이터 구축에 큰 관심을 보였던 금융권조차도 정보 융합에 소극적인 모습을 보이고 있는 건데요. 왜 그렇게 융합 신청 건수가 저조한 건가요?

심유철 기자 ▷ 빅 데이터 구축의 근간이 되는 정보 융합 건수가 저조한 이유는 개인정보 보호법 위반 우려와 실효성에 대한 의심 때문입니다. 비식별 조치 가이드라인에 따라 개인정보를 가공해서 사용한다 해도, 누군지 알아볼 수 있도록 재식별 과정을 거치면, 개인정보보호법 위반에 해당될 수 있기 때문이죠. 아직은 다른 곳에서 어떻게 하는지 기다리면서 주시를 하는 단계이지, 아직 빅 데이터 구축이 활성화되는 분위기는 아닙니다.

이승연 아나운서 ▶ 네. 공들여서 구축한 빅 데이터를 어떻게 활용해야 할지, 적극적으로 논의가 이루어져야 할 것 같네요.

심유철 기자 ▷ 네. 각 업권의 건의사항을 취합한 것을 토대로 비식별조치 개선안을 도출하면, 빅 데이터 활용도가 높아지고 개인정보 위반 위험성은 줄어들 전망입니다. 금융보안원도 빅 데이터 활성화 차원에서, 1분기 안에 금융회사와 신용평가사가 참여하는 금융권 빅 데이터 실무 협의회를 구성하고, 개인정보 비식별 조치 수준 이행 공고안을 만들기로 했고요. 

이승연 아나운서 ▶ 네. 앞으로 좀 더 지켜봐야겠네요. 최근 개인정보의 양이 급격히 증가한 반면, 충분한 보호조치가 취해지지 못해, 인터넷이나 해킹 등을 통해 노출되기도 하고, 많은 양의 개인정보가 거래되기도 하는 등 개인정보 유출과 도용 문제가 심각한데요. 개인정보의 수집 등을 위하여 동의를 받는 방법은, 개인정보 보호를 위하여 행정자치부에서 마련한 개인정보 보호 종합 포털이라는 인터넷 사이트 등에서 확인할 수 있습니다. 키워드 포착. 여기서 마칩니다. 심유철 기자, 오늘도 감사합니다.

심유철 기자 ▷ 네. 감사합니다.

tladbcjf@kukinews.com