또 다시 행정 당국에서 흘러나간 개인정보가 범죄에 악용됐다. 전 국민을 충격에 빠뜨린 아동 성 착취 사건에 이어 살인 사건을 일으켰다. 이번 사건을 통해 주목해야 할 점은 공공기관의 허술한 개인정보 관리가 전국적인 문제라는 것이다. 지금 이 순간에도, 어디선가 당신의 정보가 범죄자의 손아귀에 들어가고 있다는 의미다. 경기일보는 개인정보 유출이 반복될 수밖에 없는 제도적 허점을 진단하고 국민의 안전과 직결되는 정보를 보호하는 데 관할 당국이 사명을 다할 수 있도록 대책을 모색한다. 편집자주
#1. “허술한 관리, 미약한 처벌” 공무원 개인정보 유출 부추겼나
이른바 ‘n번방 사건’에 이어 ‘신변보호자 가족 살해 참극’까지 수원시가 관할하는 개인정보가 범죄에 악용된 것으로 드러났다. 개인정보 관리 체계가 허술한 것은 물론 규정 위반 시 처벌마저 가벼운 탓에 공무원의 ‘개인정보 장사’를 부추기고 있다는 지적이 제기된다.
19일 경기일보 취재를 종합하면 지난해 12월 서울 송파구에서 20대 남성이 전 여자친구의 집으로 가 모친을 살해하고 남동생을 중태에 빠뜨린 사건이 발생했다. 범인은 이석준(26), 그는 범행 수일 전에도 연인을 방에 가둔 채 성폭행했다. 이후 피해자는 경찰에 신변보호를 요청한 상태였다.
이씨가 피해자의 주소지를 알아낸 건 흥신소를 통해서였다. 50만원을 건넸다. 범행이 발각되고 경찰이 수사에 착수했을 당시 서울동부지검 사이버범죄형사부는 수원 권선구청 건설과에 근무하던 주무관 A씨(40)를 체포했다. 혐의는 개인정보보호법 위반, 부정처사 후 수뢰였다.
경기일보는 문제의 공무원이 이씨가 돈을 건넨 흥신소와 연결됐을 것이라는 의혹을 처음 제기했고, 검찰 수사를 통해 사실로 드러났다. A씨가 피해자의 주소를 넘긴 대가는 불과 2만원. 이 밖에도 A씨는 지난 2020년부터 2년에 걸쳐 개인정보 1천101건을 팔아넘긴 것으로 조사됐다.
수원시를 통해 국민의 개인정보가 범죄에 쓰인 상황은 기시감이 든다. A씨가 ‘개인정보 장사’를 시작했을 즈음이던 지난 2020년 3월에도 영통구청에서 근무하던 사회복무요원이 텔레그램 ‘박사방’을 운영하던 조주빈(27)을 도와 개인정보를 빼돌린 것으로 드러났기 때문이다.
이 사건 이후 사회복무요원에게 개인정보 열람 권한을 양도하거나 대여하면 처벌받는 규정이 새로 생겨났다. 그러나 개인정보 관리 공무원에 대한 처벌은 강화되지 않았다. 당시 권한을 넘긴 공무원에 대해서는 경징계가 내려진 것으로 파악됐으나, 수원시는 밝힐 수 없다는 입장이다.
개인정보보호위원회에 따르면 지난 2017~2019년 공무원이 개인정보 유출로 징계를 받은 사례는 153건으로 집계됐다. 해마다 33건, 44건, 76건으로 증가세를 보이고 있지만, 이 가운데 형사고발 조치된 건 단 2건에 불과하다. 공무원의 일탈 행위가 내부 징계로만 끝나고 있다는 것.
현행법상 정보 주체의 동의를 받지 않고 개인정보를 제3자에게 제공하면 5년 이하 징역 또는 5천만원 이하 벌금에 처해진다. 그러나 법에 따른 처벌 대신 기관 차원의 징계로만 끝나고 있어 있으나 마나 한 조항이라는 지적이 나온다. 결국 공무원의 개인정보 유출을 부추기는 셈이다.
공무원의 개인정보 유출에 대한 처벌 강화를 요구하는 목소리는 이미 수년 전부터 개진되고 있다. 개인정보보호위원회가 지난해 발표한 2020 개인정보 보호 실태조사 최종보고서에서 처벌 정도의 적정성을 묻는 항목에 응답자의 70.4%가 ‘부족하다’고 답한 바 있다.
개인정보보호법학회장을 맡고 있는 최경진 가천대 법학과 교수는 “공무원이 개인정보 열람 권한을 남용했을 때 강도 높은 형사처벌이 내려질 수 있도록 근거를 마련해야 한다”며 “공공기관마다 개인정보 감사제도를 도입해 주기적으로 개인정보 처리에 대한 내부 감사를 벌인 뒤 개인정보보호위원회에서 총괄 감사를 진행하는 방식의 제도 개선도 필요하다”고 진단했다.
권헌영 고려대 정보보호대학원 교수는 “이번 사건을 계기로 개인정보보호위원회 또는 감사원 차원에서 공공기관 개인정보 처리 실태에 대해 당장 전수조사를 벌여야 하고 위반사항이 발견되는 즉시 전부 처벌해야 한다”며 “누구든지 언제든지 어떤 공무원이 내 정보를 조회했는지 알 수 있도록 ‘개인정보 통제권 플랫폼 서비스’를 구축하고 관리감독 체계를 강화하는 등 정보 통제권을 분산시킬 필요도 있다”고 조언했다.
허술한 관리 속에 개인정보가 범죄에 악용되는 사례가 반복되고 있지만, 지방자치단체들은 개인정보 보호에 손을 놓고 있는 것으로 나타났다. 수원 권선구청 공무원의 개인정보 유출 사건을 계기로 전국 지자체의 경각심 제고가 시급하다는 지적이 나온다.
19일 경기일보 취재를 종합하면 경기지역 일선 시군 가운데 개인정보 보호를 위한 자치법규(조례)를 마련한 곳은 단 4곳에 불과하다.
앞서 지난 2020년 7월 개인정보보호위원회가 실태조사를 벌인 결과, 전국 기초지자체 226곳 중 성남시·안양시 2곳에서만 개인정보 보호 조례를 제정한 것으로 나타났다. 광역지자체 17곳 중엔 8곳이 관련 조례를 만든 것으로 집계됐지만, 이는 영상정보에 대한 것까지 포함한 결과였다.
취재진이 이날 기준으로 전국 지자체의 개인정보 보호 관련 조례 제·개정 현황을 전수 확인한 결과, 광역지자체 중엔 8곳(47.1%)에서 개인정보 보호 조례를 제정한 것으로 집계됐다. 기초지자체의 상황은 더욱 열악한데, 전국에서 10곳(4.4%)만 관련 조례를 만든 것으로 나타났다.
전국적으로 개인정보 보호 조례를 가장 선제적으로 마련한 건 경기도다. 지난 2012년 5월에 제정했다. 개인정보 처리자의 처리 목적을 명확히 하고, 필요 범위 내에서 최소한의 정보만을 적법하고 정당하게 수집하도록 원칙을 세웠다. 보호·관리책임자를 지정하고 그 책무 또한 명시했다.
광역지자체인 경기도가 모범을 보이고 개인정보보호위원회까지 나서 각 지자체의 낮은 인식 수준을 지적했지만, 경기지역 시군들은 이렇다 할 개선 움직임을 보이지 않고 있다. 실태조사 결과 발표 이후 관련 조례를 만든 도내 기초지자체는 구리시·용인시 2곳에 불과했다.
비단 경기지역만의 문제로 그치는 사안이 아니다. 인천지역 역시 인천광역시를 제외하면 10개 자치구 모두 개인정보 보호 조례를 만들지 않았다. 전국적으로 보면 기초지자체 226곳 중 216곳에서 시민들의 개인정보가 유출되고 있다고 해도 이를 거를 방법이 없는 셈이다.
현행법상 지자체가 개인정보 보호를 위한 조례를 제정해야 할 의무는 없다. 그러나 조례는 그 자체로 행정 당국의 개인정보 보호 책무에 대한 의지를 나타내는 지표이며, 정책적 방향성을 좌우한다. 개인정보보호법 역시 지자체의 개인정보 보호 책무에 대해 분명하게 규정하고 있다.
무엇보다 개인정보보호위원회가 실태조사를 벌일 당시 ‘n번방 사건’을 겪었던 수원시로선 뼈아픈 실책이다. 이번 ‘신변보호자 가족 살해 참극’에 연루된 권선구청 공무원이 개인정보를 한창 팔아넘길 때다. 조례 제정을 비롯한 제도 개선에 나섰다면, 참극을 막았을 가능성도 배제할 수 없다.
수원시 정보통신과 관계자는 “이번 사건을 계기로 시청과 4개 구청, 모든 시 산하 기관의 개인정보 처리 과정을 전면 재점검하고 있다”며 “개인정보 보호 검증단을 구성하고 점검 결과와 개선방안을 엄격하게 검증하겠다”고 설명했다. 이어 “수원시가 관리하는 개인정보 열람 시스템은 물론 중앙부처가 관리하는 시스템에 대해서도 점검 권한을 확보할 수 있도록 협조 요청을 보냈다”며 “다각도로 대책을 강구하겠다”고 부연했다.
개인정보보호위원회 관계자는 “정보 관리에 민감하면서도 일관되게 대응하기 위해선 컨트롤 타워를 지정할 수 있는 조례가 필요하다”며 “말 그대로 자치법규라서 강제는 어렵지만 독려하고 지원하는 유인책을 만들기 위해 애쓰는 중”이라고 말했다. 이어 “현재 광역지자체를 중심으로 정책설명회 등을 계획 중인데 경기일보에서 지적했듯이 더욱 열악한 상태에 놓인 기초지자체에 대해서도 다양한 개선 방안을 고민해보겠다”고 말했다.
#3. 안전 직결되는 정보, 공공기관 ‘첫 번째 사명’은 철저한 보안
수원 권선구청 공무원이 팔아넘긴 개인정보가 강력범죄의 단초를 제공하는 과정에서 이를 막을 제도적 장치가 전무했던 것으로 드러났다. 현대 사회에서 데이터와 깊숙히 연관되는 개인정보는 국민의 안전과 직결되는 만큼 철저한 보안 대책이 마련돼야 한다는 게 전문가의 중론이다.
19일 검찰에 따르면 권선구청 건설과 소속 주무관 A씨(40)는 노점 및 노상 적치물을 단속하는 시간선택제 임기제 공무원으로, 도로점용에 대한 과태료를 부과하기 위해 차적조회 권한이 부여됐다. 그는 이 권한을 악용, 2년간 정보를 팔아넘겨 3천495만원을 챙긴 것으로 조사됐다.
검찰 수사 결과에서 주목할 점은 이 같은 권한 남용을 사전 방지할 내부 통제 시스템이 전혀 없었다는 것이다. 무엇보다 A씨가 개인정보를 빼돌리는 데 사용한 건설기계관리 정보시스템은 전국 지자체에서 사용되고 있다. 또 다른 피해사례가 전국 곳곳에 남아 있을 가능성을 무시할 수 없다.
수원시를 기준으로 보면 소속 공무원에게 부여되는 개인정보 열람 권한의 종류는 수십가지에 이르는 것으로 파악됐다. 담당자도 권한의 종류를 열거하지 못할 정도다. 또 개인정보가 이용되는 시스템 중 중앙부처에서 운영하는 게 16개, 시에서 자체적으로 운영하는 시스템이 33개다.
이 가운데 이번 사건에서 문제가 된 건설기계관리 정보시스템을 포함, 4개 시스템은 개인정보 열람 사유를 적지 않아도 되는 것으로 확인됐다. 누가 접속해서 뭘 봤는지조차 알 수 없다는 것이다. A씨 역시 개인정보를 왜 조회하는지 이유를 적지 않았고 사전·사후 결재도 받지 않았다.
수사 직계로 20년 이상 근무한 베테랑 수사관은 “수사기관에선 개인정보를 확인하기 위해 반드시 형사사법정보시스템(KICS)을 거쳐야 하고, 정보 열람 시엔 상부의 결재를 받은 뒤에야 조회할 수 있다”며 “일선 지자체는 개인정보 조회에 대한 기준이 다소 느슨한 편”이라고 꼬집었다.
정보가 자산이 되는 시대적 흐름상 보안이 기업 경영에서도 필수요건으로 자리잡고 있는 만큼 시민 안전과 직결되는 개인정보를 다루는 공공기관은 더욱 더 보안에 만전을 기해야 한다는 게 전문가의 중론이다. 열람 권한을 분산하는 제도적 장치와 더불어 의식 개선이 과제로 꼽힌다.
임종인 고려대 정보보호대학원 교수는 “이번 사건을 통해 현행 시스템에서의 권한 관리가 잘못된 것으로 드러난 만큼 개인정보 접근 권한에 대한 가이드라인을 마련해야 한다”며 “은행에선 ‘이상 거래’가 발생할 때 탐지하는 시스템(FDS)이 있는데 이런 방식을 고려해볼 필요도 있다”고 조언했다.
염흥렬 순천향대 정보보호학과 교수는 “지자체마다 고유하게 처리해야 할 업무 데이터가 있을 텐데 관련 조례를 만들고 그것을 근거로 개인정보 보호 정책을 펼쳐나가야 할 것”이라며 “공공기관과 공무원의 낮은 의식수준을 개선하는 한편 정보 취급자에 대한 교육도 병행돼야 한다”고 말했다.
장희준기자