한겨레

“아니! 내 주민등록번호와 전화번호, 이메일이잖아? 어떻게 된 거지? 검색사이트에서 어떻게 이런 정보가 뜨는 거야?”

강원도 춘천에 사는 이미란(31·여·가명)씨는 17일 오후 구글(goole.co.kr)에 자신의 개인정보가 뜨는 것을 보고 경악했다. 자신의 아이디로 검색한 결과 이씨가 국립춘천박물관 회원으로 가입하면서 등록했던 정보가 고스란히 공개되고 있었던 것이다. 이씨는 자신뿐 아니라 회원으로 가입한 700여명의 주민등록번호, 학력, 전화번호와 집주소, 이메일주소 등 개인정보가 노출되고 있다는 사실에 깜짝 놀랐다.

이번 개인정보 노출의 원인은 구글의 뛰어난 검색 기능에도 있지만, 개인정보 보호 시스템을 갖추지 않은 춘천박물관에 일차적 책임이 있다. 현행 ‘공공기관의 개인정보 보호에 관한 법률’ 제9조에는 “공공기관의 장은 개인정보를 처리함에 있어 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 안정성 확보에 필요한 조치를 강구해야 한다”고 명시하고 있지만, 춘천박물관은 개인정보 노출에 대한 별다른 보호조치를 취하지 않았고, 문제가 된 18일까지 개인정보가 노출되고 있다는 사실조차 전혀 인지하지 못하고 있었다.

때문에 현재 춘천박물관에 가입한 회원들이 개인정보 공개로 사생활 침해에 따른 피해뿐 아니라 개인 뒷조사나 신분증 발급과 금융거래 등 각종 범죄에 악용될 처지에 놓였다. 이씨는 “회원정보를 삭제하고 행정자치부에 개인정보 침해 신고를 했다”며 “언제부터 내 정보가 노출돼 있었는지 예상할 수 없어 뒷감담을 어떻게 해야할지 모르겠다”며 “특히 주민등록번호까지 노출돼 있어 범죄에 악용될까 떨린다”고 말했다.

춘천박물관 사이트 관리자는 18일 오후 “개인정보가 노출되는 줄 몰랐다. 홈페이지를 만들 당시 업체에 맡겼는데, 미처 신경을 쓰지 못했던 것 같다”며 “문제가 크다. 주민등록번호 등이 노출되지 않도록 하겠다”고 <한겨레>에 해명했다.

춘천박물관 “노출사실 몰랐다. 외부 업체에 맡겼었는데… ”

행정자치부 역시 이씨가 18일 오전 행정자치부 홈페이지 개인정보침해란에 신고한 내용을 전혀 숙지하지 못하고 있었다. 담당자인 최병휘 행정자치부 전략기획팀 서기관은 “춘천박물관의 경우 행자부가 신고받을 권리와 권한이 없다”며 “작년 6월 국회에 제출에 대한 공공기관의 개인정보보호법 개정안 보면, 사실확인을 거쳐 의견을 제시할 수 있는 조항이 있을 뿐”이라고 밝혔다. 그는 “문제는 개인정보가 노출된 것이지만, 그로 인해 피해가 이뤄졌느냐를 봐야 한다”며 “단순한 노출만으로는 해당 사이트 관리자의 처벌은 현재로서는 불가하며, 부당한 목적으로 사용했을 경우 처벌할 수 있다”며 “단순한 노출의 경우 행정상의 주의를 게을리한 것으로 주의나 시정조치 등 행정적 처분은 할 수 있다”고 의견을 밝혔다.

뒤늦게 행자부로부터 연락을 받은 문화관광부 정보화담당관실 이종민씨는 “춘천박물관의 개인정보 노출 사실을 확인했다. 오늘 중으로 상황보고를 할 예정이며 시정이나 권고조치 등을 내리겠다”며 “앞으로 이런 일이 발생하지 않도록 중앙박물관을 비롯 지방 박물관에 개인정보가 유출되지 않도록 보안관리를 철저히 하도록 지시하겠다”고 말했다.

때문에 춘천박물관의 경우 개인정보 노출이라는 ‘사고’를 일으켰지만, 시정이나 권고조치 외에 현재로서는 뚜렷한 처벌조항이 없다. 이와 관련해 전문가들은 관련법 정비가 시급하다고 입을 모은다.

강달천 한국정보보호진흥원 개인정보보호단 팀장은 “이번 개인정보 노출은 보호시스템을 확실하게 구축하지 않은 춘천박물관에 1차적인 책임이 있다”며 “일단 웹사이트 운영자들이 개인정보가 포털에서 검색되지 않도록 필요한 조처를 취하는 것이 우선이며, 공공기관에서 개인정보가 노출된 경우 처벌을 강화하도록 하는 제도 개선이 필요하다”고 지적했다. 그는 구글의 검색시스템과 관련해서는 “구글의 경우 국내 지사가 없어 국내의 개인정보보호 법률로는 규제가 어렵다”며 “구글쪽에는 두차례에 걸쳐 주민등록번호 금식어 조치를 비롯 개인정보 노출정보를 삭제해 달라는 요청 외에 삭제조치를 원할히 하기 위한 핫라인 설치를 제안했으나 답변이 오지 않은 상황”이라고 말했다.

“개인정보 유출에 따른 처벌 컸다면 이런 무방비노출 됐겠나”

김영홍 함께하는 시민행동 정보인권국장은 “각 사이트에서 적절한 보안시스템을 갖추고, 개인정보가 쉽게 노출되는 사이트에 대한 법적인 처벌이나 제재가 강했다면 개인정보가 무방비로 노출되는 일은 없었을 것”이라며 “국회에 계류 중인 개인정보보호기본법이 시급히 통과돼 보안처리가 미흡한 사이트에 대해 책임을 물을 수 있는 강도높은 제재 규정이 마련되어야 한다”고 말했다.

그는 “검색엔진이 하루가 다르게 발전하고 있지만 사이트 관리자들이 보안기술이나 의식도 높아져야 한다”며 “행자부나 정통부 등으로 분산돼 있는 개인정보보호 관련 조직과 권한을 갖는 독립적인 개인정보 감독·제재기구가 시급하다”고 덧붙였다.

현재 구글은 사용 약관에서 “(검색결과는)사람의 손을 거치지 않고 미리 준비된 (검색프로그램의)알고리즘에 의해서 자동으로 분류되고 색인되고 구조화된다. 각각의 경우마다 인덱스에서 해당 링크를 제거함을 고려할 수 있으나 사이트의 관리자가 이에 대한 제거 요청이 없다면 인덱스를 생성하는 자동화 장치는 짧은 시간 안에 사이트를 찾아서 이를 인덱스화 한다”고 설명하고 있다. 사실상 해당 사이트의 삭제 요청이 없으면, 고스란히 개인정보가 노출된다는 얘기다.

한편, 공공기관의 개인정보 노출은 이번만이 아니다. 지난 2월 지문날인반대연대 등 인권단체 회원들은 국립도서관, 교육인적자원부, 식품의약품안전청, 환경부 등 실명 인증을 위해 수집한 대규모 개인정보를 그대로 노출시켰고 국민건강보험공단, 국세청, 농촌진흥청, 재정경제부, 해양경찰청 등은 특정 개인의 주민등록번호를 공개하고 있다는 사실을 공개하기도 했다.

<한겨레> 온라인뉴스부 김미영 기자 kimmy@hani.co.kr