Offcanvas

CSO / 보안 / 빅데이터 | 애널리틱스

강은성의 보안 아키텍트ㅣ정부는 개인정보 보호의 수호자인가?

2023.02.13 강은성  |  CIO KR
기업은 사업을 하면서 기술, 경영, 마케팅, 영업, 인사 등 여러 분야에 많은 정보를 보유한다. 자체 연구·개발한 것도 있지만 여러 경로를 통해 확보한 것도 있다. 대다수 B2C 사업을 하는 기업들은 정보 주체의 동의나 법령을 근거로 수집하는 개인정보 또한 사업에 반드시 필요한 정보다.

개인정보 보호법에서는 개인정보의 수집 근거를 이렇게 규정한다.
 
제15조(개인정보의 수집·이용) 
① 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보 주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

… 하략 …

행정부처는 개인정보 보호법 제15조 제1항 제2호와 같은 법률을 근거로 정보 주체의 동의 없이 국민의 방대한 개인정보를 수집·보유한 개인정보처리자다. 자신이 동의를 했다 하더라도 어디에 어떤 개인정보를 제공했는지 잊기 십상인 일반 국민들은 정부가 보유한 내 개인정보의 수집 근거 법령과 수집 목적, 수집 항목을 알기 어렵다. 정부가 더 엄격하게 개인정보보호 법규를 준수하고 정부와 공무원의 위법 행위에 대해 엄하게 처벌해야 하는 이유다.

개인정보 수집 이용 시 “수집·이용 목적”이 가장 중요하다고 강조한다. A 목적으로 개인정보를 수집해서 B 목적으로 쓰지 말아야 한다는 의미다. 실무자들이 서비스에 필요해 수집하는 항목은 중요하게 생각하지만, 목적의 중요성은 간과하기 쉽다. 이것은 개인정보처리자의 자체 이용뿐 아니라 개인정보 처리위탁이나 제3자 제공에서도 역시 강조되는 사항이다.

2020년 12월 출시됐다가 사회적 물의와 개인정보 보호법 위반으로 중단됐던 챗봇 ‘이루다’에 대한 행정처분(2021.4.28)에서 개인정보보호위원회는, ‘이루다’ 개발사인 스캐터랩이 ‘연애의 과학’ 등의 서비스 목적으로 수집한 개인정보(카카오톡 대화)를 ‘이루다’의 개발과 운영에 이용한 것에 대해 ‘연애의 과학’ 개인정보 처리 방침에 ‘신규 서비스 개발'을 기재한 것만으로 “‘이루다' 개발과 운영에 카카오톡 대화가 이용될 것에 대해 이용자가 예상하기도 어렵다”라고 하면서 수집한 개인정보의 목적 외 이용의 위법성을 정확하게 지적한 바 있다. 

→ 강은성의 보안 아키텍트ㅣ이루다 2.0, 개인정보, 인공지능

2021년 10월 한 언론에서 법무부가 과학기술정보통신부와 협약을 맺고 ‘출입국 심사 고도화'를 위한 ‘인공지능 식별추적 시스템 개발사업'을 진행하면서 ‘출입국 심사 시스템’에서 확보한 내국인 5,760만 건, 외국인 1억 2,000만 건, 총 1억 7,700만 건의 안면 정보를 민간업체가 인공지능 알고리즘을 학습하는 데 제공했다고 보도했다.
 
ⓒ한겨레 2021.10.21.

출입국관리법 제3조(국민의 출국), 제6조(국민의 입국), 제12조의2(입국 시 생체정보의 제공 등), 제28조(출국심사)에서는 이 법에 따라 수집한 생체정보의 이용 목적을 출국심사와 입국심사로 명시하고 있어서, ‘안전한 국경관리'라는 ‘출입국관리법' 목적에 따라 인공지능 알고리즘 개발에 사용한 것이 합법이라는 (법무부의) 주장은 적절해 보이지 않는다.

특정 법조문에 명시된 수집 목적을 근거로 정보 주체의 동의 없이 수집한 국민의 개인정보를 해당 ‘법의 목적’이라는 포괄적인 용도로 쓸 수 있다고 해석하면 수집 목적을 중시하는 개인정보보호 법령의 근간이 흔들릴 뿐 아니라 “국민이 예상하지 못한 곳”에 개인정보가 악용될 위험이 있다. 민간기업인 ‘이루다’에 적용한 기준과도 거리가 있다.

출입국관리사무소가 사업에 ‘응모’한 업체들을 개인정보 처리위탁 업체라고 하면서 생체정보를 제공한 것 일반적이지 않다. 16개 업체 중 실제 사업을 수행한 업체는 훨씬 적을 텐데, 나머지 업체들에 생체정보를 제공하여 안면인식 알고리즘 학습에 활용하도록 허용한 것이 ‘처리 위탁’에 포함될 수 있을지, 민간기업이 이런 방식으로 사업을 한다고 하면 정부가 문제가 없다고 할지 궁금하다.

2021년 개인정보위에서 “5개 지방자치단체(2개 교육청 포함)에 개인정보보호 법규 위반에 따른 과태료를 부과하였는데, 이는 보호법 제정(’11.3월) 이후 첫 사례”라고 보도자료(2021.9.8)를 배포한 바 있다. 유럽연합 개인정보 보호법(GDPR)의 ‘적정성 결정’에 대응하기 위해 2020년 ‘데이터 3법’ 개정으로 개인정보위가 중앙행정기관이자 ‘독립 감독기구’로 출범하면서 달라진 위상을 실감한 사건이었다.
 
표 1. 주요 공공기관 개인정보 관리 실태 점검 추진(안) ⓒ개인정보보호위원회 2022.10.6

이후 개인정보위는 “법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려하여 출범 이후 공공기관에 대해 과태료 부과 등 엄격한 조치를 취하고 있다.”(2022.9.14 보도자료)고 밝혔고, 선제적으로 공공기관의 실태 점검에 나서기도 했다. 개인정보보호 분야의 전문가와 일반 국민도 충분히 공감할 수 있는 내용이다.

조선시대부터 수백 년 동안 이어진 강력한 중앙집권제의 영향으로 우리나라에서는 정부에 대한 ‘과도한’ 기대와 더불어 일제 강점기와 독재를 거치면서 생긴 정부에 대한 불신 역시 한 켠에 쌓여 있다.

입법과 정책을 통한 개인정보 보호의 수호자로서 정부를 인식하면서도 정부가 보유한 방대한 국민의 개인정보를 부당하게 사용할 수도 있다는 불안과 의심 역시 적지 않다. 그동안 개인정보위가 민간 부문의 개인정보 규제에 집중해 왔다면, 이제는 정부·공공 부문에 대한 개인정보위의 역할이 필요한 시기가 아닐까 싶다. 한 해를 보내고 새해를 맞이하며 개인정보위에 거는 기대다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.