[미디어오늘] 코로나 시대 후폭풍 개인정보 위법축적 문제 터진다

코로나 시대 후폭풍 개인정보 위법축적 문제 터진다

[이주의 미오픽] ‘이통3사, 가입자 몰래 동선기록 축적’ 한겨레 김재섭 선임기자

김재섭 한겨레 선임기자 겸 사람과디지털연구소장은 지난 8월31일~9월2일 이동통신사들이 가입자의 동선을 보여주는 휴대전화 위치확인 정보(기지국 접속기록)를 몰래 별개의 데이터베이스에 축적해온 사실을 처음 보도했다. 이통사들은 이렇게 축적한 정보를 빅데이터 사업에 활용하고 있다. ‘기지국 접속기록’이란 각 휴대폰이 전국에 퍼져 있는 기지국 가운데 가장 가까운 곳에 수분 단위로 보낸 접속기록을 말한다.

▲한겨레 9월1일 지면보도 갈무리. 그래픽=이우림 기자
▲한겨레 9월1일 지면보도 갈무리. 그래픽=이우림 기자

7일 오후 김 기자를 만나 취재 과정과 보도 의미를 물었다. 김 기자는 “이통사들은 이전에는 기지국 접속기록을 축적 보관하는 사실을 쉬쉬했다. 하지만 코로나19 대유행 사태 이후에는 방역 방해 행위자 색출에 기여하는 점을 앞세워 기지국 접속기록을 쌓고 활용하는 사실을 공공연히 밝히는 모습”이라고 했다.

[ 관련 기사 : 한겨레 / [단독] 이통3사, 따로 DB 만들어 ‘위치 정보’ 몰래 모았다 ]

김 기자를 취재로 이끈 건 기억이다. 그는 정부가 지난 7월 말 서울 이태원을 5월18일에 방문했던 약 1만명의 휴대전화 기지국 접속기록을 이통사로부터 받아 처리했다는 소식을 접했다. 2005년 ‘위치정보 이용 및 보호 등에 관한 법률(위치정보법)’ 제정 과정을 바짝 취재한 때를 떠올렸다. “당시 공청회를 꼼꼼히 챙겼어요. 이 법은 이전엔 이통사들이 일절 활용하지 못하던 가입자 위치정보를 활용할 수 있도록 했는데, ‘축적’은 허용하지 않았어요. 이번에 어떻게 정보 제공이 가능했는지 의아했죠.” 김 기자는 25년 간 경제·산업부에서 정보통신 분야를 취재해왔다.

위치정보법은 요금에 대한 이의신청에 대비해 필요한 위치정보, 즉 실제 통화기록(기지국 정보)에 한해 2개월 동안 보관하도록 했다. 그런데 이통사들이 최근 방역당국에 제출한 정보는 2개월이 지난 자료였을 뿐더러 수분 단위로 기록된 기지국 접속기록이었다. 개인정보보호법은 이통사가 가입자에게 사전 고지하고 동의를 받아야만 개인정보를 수집과 축적, 활용할 수 있도록 하고 있다. 또 서비스 제공에 필수적인 정보에 한해 최소한 수집하도록 원칙을 뒀다. 이통3사 홍보실에 동시에 같은 질문을 던졌다. “기지국 접속기록은 언제부터, 무엇을 근거로, 어떤 목적으로 축적하나요?”

▲한겨레 김재섭 선임기자 겸 사람과디지털연구소장. 사진=김예리 기자
▲한겨레 김재섭 선임기자 겸 사람과디지털연구소장. 사진=김예리 기자

돌아온 답변은 같았다. “법 절차에 따랐다. 다만 언제부터, 어떤 목적으로 했는지 확인되지 않는다.” 김 기자는 결국 복수의 이통사 고위 임원을 통해 보다 구체적 정보를 확인했다. 임원들은 이통사가 빅데이터 사업을 목적으로, 통화기록 등과 별개로 기지국 접속기록을 또다른 데이터베이스에 쌓아두고 있다고 설명했다. 이통사들은 2015년 메르스 때 기지국 접속기록을 외부기관에 제공하기 시작했다.

정부기관과 독자들의 보도 반응은 나뉘었다. 경찰청과 국가정보원, 군 쪽에선 보안을 위해 쓰는 업무용 공용폰 위치정보까지 죄다 축적되는 것인지 이통사 쪽에 문의가 빗발쳤다. “공용폰의 기지국 접속기록은 사생활뿐 아니라 업무상 비밀까지 포함하는데, 예외없이 축적되고 있었죠. 업무상 비밀을 지켜야 하는 부서를 비롯해 조직 내 상당수는 몰랐을 겁니다.” 반면 댓글 등 독자 반응은 “코로나19 방역 하지 말라는 말이냐”는 반문이 다수를 이룬다.

김 기자가 문제 삼는 핵심은 ‘몰래’와 ‘축적’이다. 당국의 방역을 위한 정보요청과 이통사의 위법 축적행위를 구분해야 한단 얘기다. “비유하자면, 한 사람이 자기 돈을 기부하는 것은 바람직한 일이지만, 돈을 남에게서 빼앗아 기부한다면 빼앗은 행위를 정당화할 수 없는 것과 같습니다. 이동통신사들이 가입자들에게 알리고 동의까지 받아 축적한 정보를 방역당국에 제출한다면 문제 없습니다. 그러나 이통사들이 축적 과정에서 어떤 조건도 채우지 않았다는 겁니다.”

▲통신3사 대리점. ⓒ 연합뉴스
▲통신3사 대리점. ⓒ 연합뉴스

이통사들의 민감개인정보 산업화는 이미 시작됐다. 3사는 가입자의 기지국접속기록을 상품화한 사업화를 보도자료로 홍보하고 있다. 한국문화관광연구원은 SKT가 축적한 가입자 기지국 접속이력과 신한카드의 결제정보를 결합분석한 결과를 활용해 부산 관광 전략 수립에 나선다. SKT는 지난 4월 총선 당시 기지국 접속기록을 기반으로 시간대별로 가입자들이 많이 모이는 지역을 분석해 더불어민주당에 제공했다. KT는 SPC와 손잡고 가입자 기지국 접속기록을 활용한 상권 분석에 나섰다.

최근 시행된 이른바 ‘데이터 3법’이 결합하면 문제는 심각해진다. 데이터 3법에는 이통사들이 가명정보를 동의 없이 상업적 연구 등에 활용토록 허용할 수 있도록 하는 개정 개인정보보호법이 포함됐다. “이 법대로라면 이통사들이 몰래 축적한 기지국 접속기록을 가명 처리해서 정보주체의 동의 없이 상업에 활용하는 행위가 허용됩니다. 이통사들은 접속기록이 로데이터(raw data)라 비식별 정보라고 하지만, 코로나19 국면에 개개인을 식별하는 정보로 활용되면서 식별화가 가능하단 사실이 드러난 셈이지요.”

방송통신위원회는 보도 뒤 이통사들의 위치정보 관리 실태를 현장조사하겠다고 밝혔다. 그러나 제대로 된 점검과 후속처리는 요원하다. 축적과 활용 절차 전반을 들여다보려면 각 관련법 위반 여부를 따져야 하는데, 영역별 조사권한이 방통위·과학기술정보통신부·개인정보보호위원회 등으로 찢어져 있다. 관련법은 개인정보보호법·전기통신사업법·정보통신망법·위치정보법·통신비밀보호법·감염병예방법 등이다. “방통위는 위치정보법에 관해서만 관리감독하고, 그 밖의 영역 관련 예산과 인원은 데이터 3법 처리를 계기로 개보위에 넘어가 있습니다.”

김 기자는 코로나19 사태로 얼마 뒤 개인정보 침해로 인한 후폭풍이 닥칠 것이라고 말했다. “코로나19로 개인정보 자기결정권에 대한 인식이 매우 헐거워졌습니다. 방역을 명목으로 모이고 쌓이는 개인정보가 모두 민감하고 중요한 개인정보인데, 어떻게 사후 관리할지 모르고, 제대로 폐기할지도 보장되지 않지요. 코로나19가 빅브라더를 위한 토양을 만들었다고들 합니다.”

김 기자는 “개별 가입자에게 고지하고 동의 받도록 한다면 최소한 시민단체나 정보주체가 ‘내 정보를 어디에 어떻게 썼는지를 열람시켜달라’고 요구할 근거가 된다”며 “이통사 차원에서도 이 ‘걸림돌’이 더 큰 의혹 제기와 후폭풍으로 돌아오기 전에 문제를 해결해야 한다”고 말했다.




언론 목록