"해외서 한국 개인정보 상습 거래…게시자 처벌법 필요"

"해커가 보호된 시스템에 침투함으로써 발생하는 '개인정보 유출'은 발견 즉시 한국인터넷진흥원(KISA)에 신고해야 하는 등 법적 제재가 있습니다. 그러나 누구나 정보를 공공연하게 게시한 '개인정보 노출'의 경우 게시자에 대한 처벌 조항이 없는 상황입니다."

이종화 KISA 개인정보탐지팀장은 개인정보 노출 관련 법적 개선점에 대해 지난 22일 이같이 말했다.

홈페이지 오설정, 불법 거래 등의 목적으로 이뤄지는 개인정보 노출에 대해, 정보가 게시된 사업자를 제재하는 조항은 존재하지만, 정작 개인정보를 노출한 개인은 상습적으로 적발되더라도 별다른 제재가 받지 않는다는 지적이다.

이와 함께 해외 사업자의 협조, 다크웹 등 노출된 개인정보를 삭제하는 과정에서 마주하는 다양한 난제와 이에 대한 KISA의 대응 방안을 설명했다.

■개인정보 노출 매년 증가하는데…게시자 처벌 법안 1년 넘게 계류

KISA에 따르면 국내외 개인정보 노출 건수는 매년 증가 추세를 보이고 있다. 지난해 기준 개인정보 노출 페이지 수는 8천988건을 기록했으며, 올해는 지난 8월까지 8천216건을 기록했다. 이는 페이지 수 기준으로, 실제 노출된 개인정보 건수는 이 수치보다 많을 것으로 분석된다.

개인정보를 불법 유통 건수도 증가 추세다. 특히 지난해 집중 단속으로 탐지 페이지 건수가 크게 늘었다고 밝혔다.

정보통신망법에서는 개인정보 노출 및 노출된 정보의 유통에 대해 제32조의4, 제44조의7에서 규정하고 있다. 정보통신서비스제공자들로 하여금 개인정보 삭제, 차단 등 방송통신위원회 또는 KISA의 요청을 따라야 한다고 언급돼 있다. 이를 따르지 않을 경우 제73조에 따라 2년 이하의 징역 또는 2천만원 이하의 벌금에 처할 수 있다.

개인정보를 노출한 개인을 처벌하는 규정이 미비한 문제를 해결하기 위해 변재일 더불어민주당 의원이 지난해 7월 정보통신망법 개정안을 대표 발의했다. 개인정보 거래 정보를 유통하는 자에 대해 5년 이하의 징역 또는 5천만원 이하의 벌금을 부과하는 내용을 담고 있다. 그러나 1년여가 지난 현재까지 법안 논의가 되지 않고 있다는 설명이다.

■한국인 개인정보 주 거래 지역은 '중국'

개인정보 노출 문제에 대응하기 어렵게 만드는 요인이 또 있다. 개인정보 노출 또는 노출된 정보 거래가 주로 해외인 중국 정보통신서비스에서 이뤄진다는 것이다. 상대적으로 신속한 협조를 받을 수 있는 국내 서비스 대비 중국 등 해외 사업자의 경우 담당자를 찾아 연락을 취하는데 시간이 더 소요되고, 해당 국가의 규제 때문에 노출된 개인정보를 바로 삭제하기 어려운 상황도 발생한다.

이종화 KISA 팀장은 "중국에서 한국인 개인정보에 관심이 많다"며 "오디션 프로 등 한국 콘텐츠를 이용하기 위해서는 한국인 계정이 필요한 경우가 그 중 하나"라고 언급했다.

이에 KISA는 중국 사업자들과 협력 관계를 구축해 개인정보 노출 문제에 대해 신속히 대응하고자 하고 있다. 타오바오의 경우 올해 만들어진 핫라인을 통해 노출된 개인정보에 대해 삭제 요청하면, 전부 응해주고 있다.

그러나 텐센트의 경우 핫라인은 구축했지만, 게시글 삭제에 대해 정부 부처인 왕신반의 승인이 필요해 즉시 삭제가 어렵다는 입장을 보이고 있다.

오픈마켓인 타오바오와 SNS를 운영하는 텐센트 간 사업 내용이 달라 규제 해석에 차이가 있다는 것이다.

이 팀장은 "외교부, 대사관 등을 통해 개인정보 노출 문제에 대해 논의하고 있다"며 "중국 공안, 경찰 등과도 필요한 사항을 전달하고 있긴 하나 사실 소통이 쉽진 않다"고 설명했다.

KISA는 지난 2012년 중국 북경에 설립한 한중인터넷협력센터를 통해 개인정보 삭제 업무를 수행하고 있다. 내년부터는 예산 지원을 받아 독자 사무실 운영, 현지인 고용 등 대표처 등록 기준을 충족할 수 있게 될 전망이다. 이 팀장은 비공식적 기관으로서 활동하는 현재보다 활동 영역이 늘어날 수 있게 될 것으로 기대했다.

다크웹에서 이뤄지는 개인정보 불법 거래도 해결하기 어려운 문제 중 하나다. 이 팀장은 "다크웹에서 노출된 개인정보를 탐지하는 것까진 가능해도, 게시된 정보에 대해 삭제 요청할 만한 곳이 마땅치 않은 문제, 정보를 게시한 주체를 추적하는 문제 등이 존재한다"며 "KISA 업무만으로는 한계가 있고, 경찰이 개입하는 것만이 유일한 방법 같다"고 답했다.

■내년 주민등록 초본·가족관계증명서·여권 정보 이미지 탐지 기법 도입

KISA는 탐지 엔진이 웹사이트에 직접 접근한 뒤 웹페이지 내용을 크롤링해 정보 노출 여부를 탐지하는 '직접 탐지'와 포털·SNS에서 키워드를 검색해 관련 게시물을 탐지하는 '간접 탐지', 신분증 등 이미지를 분석해 개인정보 노출 여부를 확인하는 '이미지 탐지' 등의 방식으로 노출된 개인정보를 탐지하고 있다.