강정수 청와대 디지털소통센터장은 5월 22일 n번방 관련 청원에 대해 “근본적이고 종합적인 재발 방지대책을 마련할 예정”이라고 밝혔다. 해당 청원은 박사방 조주빈에게 개인정보를 빼돌린 사회복무요원(공익근무요원) 강모씨의 고등학교 담임임 스토킹 피해자 A교사가 작성한 것이었다. 지난 3월 29일에 시작된 청원은 한 달 기간 동안 총 51만 명 이상의 참여자로부터 동의를 얻어 청와대의 답변을 이끌어내었다. 강모씨는 수원시 한 구청 가정복지과에서 사회복무요원으로 근무하면서 자신의 고등학교 담임교사였던 A씨와 그의 가족 개인정보를 조회한 후, 조주빈에게 A씨의 딸을 살해해달라는 혐의를 받고 있다. 그는 실제 2012년부터 총 8년간의 스토킹 범죄를 저질렀으며, 그 과정에서 자신이 근무했던 병원이나 구청에서 개인정보를 알아내 협박을 지속했던 것으로 알려졌다.

 

 

이 과정에서 교사 A씨의 삶은 철저하게 파괴되었다. 수 없이 이어지는 협박을 피하고자 개명까지 하였으나 유출된 개인정보를 활용한 각종 협박을 피할 수 없었다. 교사 A씨의 아이디와 비밀번호를 알아내 A씨를 가장하여 글을 쓰거나, 없애버린 메일 주소를 똑같이 만들어 A씨에게 전송되는 이메일을 모두 확인하여 스토킹 정보를 수집하는가 하면, A씨를 가장하여 메일 답변을 하기도 했다. 이사를 하고, 전화번호를 변경해도 이를 다시 알아내 협박과 스토킹을 지속하였다. 주민등록번호를 변경하였으나, 새로운 주민등록번호와 딸의 주민번호를 적은 종이를 아파트 우체통에 적어두고 가는 등 변경된 개인정보를 취득하여 협박을 이어나갔다.⁽¹⁾

 

서울시의 한 주민센터에서 주민등록등·초본 발급 보조 업무를 하면서 200여 명의 개인정보를 불법으로 조회하고, 이 중 17명의 정보를 조씨에게 제공한 혐의로 구속된 또 다른 사회복무요원 최씨도 있다. 이들 최씨와 강씨가 개인정보를 무단 조회할 당시 시스템에 접속하며 사용했던 계정의 원래 주인들인 구청·주민센터 공무원들도 경찰에 입건되었다.

 

n번방 사건은 성착취 동영상 유통을 비롯한 각종 불법 행위가 모의, 실행된 Telegram 메신저 외에도 정부의 개인정보처리시스템 관리 실패도 큰 역할을 한 것은 자명하다. 현재 적용되어 있는 개인정보의 안전성 조치는 충분한 것일까? 특히, 개인정보처리 권한을 남용한 개인정보 무단 조회 및 유출에 대한 조치는 적절히 규정되어 있는 것일까? 이를 살펴보고 대안을 검토해본다.

 

개인정보처리시스템과 개인정보 안전성 조치의 변화

 

<개인정보의 안전성 확보조치 기준(행정안전부 고시 제2019-47호, 2019. 6. 7 시행, 이하 “안전성 확보조치 기준”)>은 개인정보보호법 제29조(안전조치의무), 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한) 및 동법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치) 등의 법적 근거에 기반한 것으로 개인정보처리자는 개인정보를 처리할 때 이 기준을 준수해야 하며, 정부부처의 개인정보처리자도 이를 준수하여 개인정보를 처리하여야 한다. 또한, 이 안전성 확보조치 기준을 준수하지 않는 경우에는 관련 법령에 따라 벌칙(징역 또는 벌금), 과태료를 부과할 수도 있다.

 

지난 2011년에 제정된 이래, 총 4번의 개정을 거쳐 제2019-47호의 내용으로 정리가 되었다. 주요 제개정 현황은 아래와 같다.

 

[표 1] 개인정보 안전성 확보조치 기준 주요 연혁

연혁	안전성 확보조치 기준 주요 변경사항
제2011-43호 (2011.9.30. 제정)	개인정보의 안전성 확보를 위해 준수해야 할 관리적·기술적 보호조치에 대한 세부 사항을 규정함 제10조(물리적 접근 방지)의 내용을 고려할 때, 실질적으로 물리적 보호조치를 포함함
제2014-7호 (2014.12.30. 개정)	접속기록 반기별 점검을 의무화 보조저장매체 반출입을 통제 복원 불가능한 개인정보 파기 방법을 구체적으로 명시
제2016-35호 (2016.9.1. 개정)	개인정보처리시스템 등 일부 개념 정의를 보완 개인정보처리자 유형 등에 따른 안전조치 기준 차등화 새로운 기술변화 반영하여 안전조치 기준 보완
제2017-1호 (2017.7.26. 개정)	정부조직 개편에 따라 행정자치부 소관 행정규칙(훈령, 예규, 고시)의 소관을 행정안전부로 변경
제2019-47호 (2019.6.7. 개정)	접속기록의 기록항목 구체화 접속기록 보관기간을 최소 1년 이상 보관하도록 차등적 연장 접속기록 점검에 관한 사항 개선

가장 최근의 안전성 확보조치 기준 개정은 접속기록의 기록항목 구체화, 보관기간 연장, 점검 관련 사항 개선 등 주로 접속기록에 대한 보호조치의 변경에 관한 내용을 담고 있다. 지난 2018년 서대문구청이 관리하는 개인정보가 특정 정당 소속의 당직자에게 전달되어 불법 유권자 명부 구축에 활용되었다는 의혹이 사회적으로 이슈가 되었는데, 당시 이에 대한 사실관계를 확인하고자 하여도 기존의 안전성 확보조치 기준에서는 개인정보처리시스템 접속 기록의 최소 보관기간이 6개월밖에 되지 않아, 개인정보 유출 경로를 확인할 수 없었던 상황에 대한 개선차원에서 발생한 변화이다.⁽²⁾

 

[표 2] 가장 최근의 안전성 확보조치 기준 변경사항 비교

안전성 확보조치 기준 제2017-1호	안전성 확보조치 기준 제2019-47호
제2조(정의) 이 기준에서 사용하는 용어의 뜻 은 다음과 같다. 19. “접속기록”이란 개인정보취급자 등이 개인정보 처리시스템에 접속한 사실을 알 수 있는 계정, 접속 일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.	제2조(정의) 이 기준에서 사용하는 용어의 뜻 은 다음과 같다 19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보 취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
제4조(내부 관리계획의 수립 시행)④ 개인정보보호책임자는 연1회 이상으로 내부 관리계획의 이행 실태를 점검·관리 하여야 한다.	제4조(내부 관리계획의 수립 시행)④ 개인정보보호책임자는 접근권한관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야한다.
제8조(접속기록의 보관 및 점검) ① 개인정보 처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야한다.	제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한기록을 1년 이상 보관·관리하여야한다. 다만, 5만 명 이상의 정보 주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감 정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관 관리하여야 한다.
② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야한다.	② 개인정보처리자는 개인정보의 오·남용, 분실· 도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.

상기 표에서 확인할 수 있듯, 가장 최근의 안전성 확보조치 기준은 ① 접속기록의 보관 기간을 기존 대비 2배 이상 확대하는 한편, ② 점검 빈도를 기존 반기별 1회 이상에서 월 1회 이상으로 확대하였다. 또한, ③ 개인정보처리시스템에 접속하여 개인정보 처리 시, 처리 대상이 되는 정보주체가 누구인지를 기록에 남기도록 하였으며, ④ 내부 관리계획의 이행 실태 점검 시, “접근권한 관리, 접속기록 보관 및 점검”을 명시적으로 포함하여 연 1회 이상 점검하도록 하였다. 마지막으로 ⑤ 개인정보 다운로드 시, 그 사유를 반드시 확인하도록 하였다.

 

위와 같은 변화의 특징을 요약하면, ▲ 접속기록 보관의 기간 및 범주 확대 ▲ 접속기록 점검 빈도 증대 ▲ 개인정보 다운로드 사유 기록 등으로 정리할 수 있다. 이를 다시 한 번 더 요약하면, “사후적 보호조치 강화”이다. 어떠한 경우에도 개인정보처리시스템에서 발생하는 개인정보에 대한 권한 없는 또는 권한을 남용한 열람이나 유출에 대한 <예방적 조치>는 반영되지 않은 것이다.

 

접속기록 보관 기간을 기존(6개월) 대비 2배인 1년으로 확대하였으나, 만약 사후적으로 확인이 필요한 개인정보 처리시스템 접속 기록이 1년 이전에 발생한 경우라면 이에 대응하기 위해 또 다시 접속 보관기간을 확대하는 수밖에는 대응 방법이 없는 것이다. 결국, 사회적으로 주목을 모으는 사건이 발생할 때마다 기존 대비 접속 보관기간을 조금씩 늘려나가는 방법을 택할 수밖에 없는 방식의 대응인 것이다.

 

개선점의 검토

 

접속기록 보관 기간을 확대하는 것은 결국 해당 보관 기간을 초과하는 사건이 발생하면, 그에 대한 대책으로 또 다시 접속기록 보관 기간을 추가로 확대하는 악순환을 가져올 수밖에 없다. 사후 약방문 식의 대응으로는 n번방 사건의 사회복무요원이 행한 위법행위와 같은 개인정보 침해에 적절히 대응할 수 없다.

 

결국, “사전적 대응”을 강화하지 않고서는 근본적 문제의 해결은 요원하다. 아래 사전적 대응을 위해 고려해볼 필요가 있는 몇 가지 방안을 검토해 본다.

 

(1) 개인정보 처리시스템 접속 통제 강화

 

개인정보처리시스템에 접속할 때, One-Time-Password Generator를 활용한 1회용 코드를 개인정보처리자의 휴대전화에 생성하는 방식이다. 기존의 ID/PW에 더하여, 개인정보처리자가 배타적으로 보유하고 있는 기기에 1회용 비밀번호를 발생시켜 이를 입력하는 경우에만 개인정보 처리시스템에 접속을 허용할 수 있다. OTP Generator(Device)를 배포하기 어려운 경우, 스마트폰 앱으로도 가능하며 이미 시장에 나와 있는 도구(예: Google Authenticator)를 활용하는 것도 가능하다.

 

OTP Generator나 앱 외에도 개인정보 처리시스템 접속 통제를 강화하기 위한 방안으로 상위 직급자의 승인을 통한 접속이나 하드웨어 인증 기기(예: Yubikey 등)의 배포를 고려해볼 수 있다.

 

(2) 개인정보처리시스템 권한 세분화(granularization) 및 점검

 

개인정보처리시스템에 대한 권한을 세분화 하고, 해당 권한이 “업무 필요성”에 비추어 적정한 수준인지를 정기적으로 점검하는 프로세스를 적용할 수 있다.

 

예를 들어, 이름 / 생년월일 / 주소 / 전화번호 / 주민등록번호 / 가족 정보를 조회할 수 있는 개인정보처리시스템이 있는 경우라면 아래 표와 같이 권한을 세분화 하여, 업무 필요성에 따라 각 개인정보처리자에게 차등적 권한을 부여할 수 있다.

 

[표 3] 권한 등급 차등화 예시

권한 등급	권한 상세	비고
Master	전체 정보 조회 및 출력 가능 주민등록번호 제외한 정보 수정 가능	하위 권한 등급조정 가능
Level 1	주민등록번호 제외한 전체 정보 열람 및 출력 가능	정보 수정 불가능
Level 2	이름 / 생년월일 / 주소 / 가족정보 열람 및 출력 가능	–
Level 3	이름 / 생년월일 / 주소 열람 및 출력 가능	–
Level 4	이름 / 생년월일 열람만 가능	–

 

위와 같이 차등화된 권한은 “업무 필요성”을 기반으로 하여 각 개인정보처리자에게 부여한다. 만약 A라는 개인정보처리자가 통상적으로 90%의 업무를 처리하기 위해 Level 3의 권한이 필요하며, 예외적 10%의 업무를 처리하기 위해 Level 2의 상위 권한이 필요한 경우 그에게는 Level 3의 권한을 부여하되, Level 2의 권한이 필요한 업무를 수행해야 할 때에는 Master를 통해 업무 수행에 필요한 시간만큼 임시로 Level 2의 권한을 부여 받고, Master는 그에 대한 업무 수행 내역을 강화된 수준으로 모니터링 하는 방식으로 대응할 수 있다.

 

한편, 개인정보처리자에게 부여된 권한이 적정한 수준에서 부여된 것인지를 정기적으로 점검하는 프로 세스를 적용할 필요가 있다. 예를 들어, 2개월에 한번씩 “현재 수행하고 있는 업무에 필요한 권한인지를 개인정보처리자 스스로 입증할 수 있는 증거자료 및 사유를 시스템에 입력”하도록 하고, 권한 부여자가 이를 리뷰하여 승인하는 경우에만 현재의 개인정보처리 권한을 유지할 수 있도록 하는 방식이다. 만약, 현재의 권한 필요사유를 충분히 입증하지 못하는 경우, 개인정보처리 권한을 회수하거나 기존보다 한 단계 낮은 권한으로 자동 조정하도록 시스템에 권한 체계를 반영할 수 있다.

 

(3) 실시간 모니터링 체계의 강화 (인공지능 기반의 탐지 적용)

 

사후 모니터링 체계가 아닌 실시간 모니터링 체계를 적극 도입, 강화해야 할 필요가 있다. 개인정보처리가 반드시 필요한 업무를 내역별로 정리하고, 해당 업무를 수행하기 위해 “어떠한 절차와 접속 경로로” 개인정보가 포함된 메뉴에 접근하는지를 도식화 하고, 이를 정규화하여 데이터베이스로 구축을 한다. 이 데이터 베이스에 구축된 업무 절차를 우회하여 접속하는 경우 관리자에게 Alert를 발송하는 시스템을 고려해볼 수 있다. 소위 ‘정규식에 의한 탐지 방식(rule-based)’을 실시간 모니터링 체계에 편입하는 것이다.

 

위와 같은 방식은 새로운 업무 발생으로 인한 개인정보처리 필요성 등에 적절히 대응하기는 어렵다. 기존의 정규화된 규칙에 반영되지 않는 업무 프로스세가 발생하면 이를 모두 위험행동으로 보는 false negative를 피하기 어렵다는 의미이다. 따라서, 위와 같은 정규화된 데이터베이스 및 기존에 탐지된 우회적 행위를 인공지능에 학습시키는 경우 새로운 업무 패턴에도 대응을 할 수 있게 된다. 개인정보를 처리하는 전체 행정망에서 발생하는 개인정보처리 로그기록을 학습데이터로 사용하는 경우 기존 시스템의 개선뿐 아니라, 신규 구축 시스템에도 적용할 수 있는 인공지능 기반의 범용 FDS(Fraud Detection System)까지 구축하는 것을 기대해볼 수 있다.

 

(4)기타

특정 정보주체의 상세 개인정보 내지 여러 정보주체의 특정 개인정보를 일괄 조회할 수 있는 기능을 제한할 수 있도록 시스템을 개편하거나, 민원인이 직접 개인식별자(identifier)를 입력하지 않는 경우 개인정보 조회 수준을 제한하는 방식으로 개인정보 조회 시스템을 개편하는 등의 방안도 적극 검토해볼 수 있다. 특히, 후자의 경우 민원인의 직접적 입력(input)이 없는 경우, 개인정보 조회를 전면 제한하거나 매우 제한적 조회만 가능하도록 하는 경우 큰 효과를 거둘 수 있는 사전적 방식의 하나로 판단된다.

 

나아가며

 

n번방 사건에 대한 대응을 위한 복수의 입법이 진행되는 등 개인정보를 악용하여 정보주체에게 큰 피해를 발생시킬 수 있는 개인정보 침해사안에 대해 사회 전 방위적 대응이 마련되고 있다. 그러나 대책의 대다수가 민간 부문에 집중이 되었고 그 실효성에 대해서도 우려의 목소리가 적잖다. 사회복무요원으로 하여금 개인정보처리시스템에 대한 접속권한을 전면 제한하는 등의 대응이 있었으나, 이는 정부에서의 개인정보처리스템을 통해 발생할 수 있는 각종 사안을 근본적으로 대응하는 것이라기보다 n번방 사건에 대한 미봉적 대책에 가깝다. 국민에 대한 방대한 개인정보를 처리하는 시스템을 보다 안전하게 관리할 수 있는 <사전적 예방 및 실시간 대응체계>의 마련이 절실하다 할 것이다. 개인정보 안전성 확보조치 기준을 정부에 적용할 때, 보다 강화된 요건이 적용될 수 있도록 하는 ‘차등적 적용 체계’를 도입하는 것도 이번 기회에 적극 고려해 보길 기대한다.