[디지털데일리 이종현기자] 다크웹이나 텔레그램 등에서는 불법적인 경로를 통해 얻은 개인정보가 셀 수도 없이 많은 규모로 유출되고 있다. 개인정보가 공공재나 다름없다는 우스갯소리는 더 이상 농담처럼 들리지 않는다. 이처럼 심각한 상황임에도 정부 대응은 미온적이다. 한국인의 개인정보가 대규모로 유출된 정황을 확인하더라도 신고할 창구조차 없는 실정이다.

<디지털데일리>는 최근 취재 과정에서 해킹포럼·텔레그램을 통해 수만건 이상의 한국인 개인정보가 유출된 것을 확인했다. 대응을 위해 관계기관인 개인정보보호위원회(이하 개인정보위)에 이를 알렸고, 한국인터넷진흥원(KISA)의 개인정보침해 신고센터를 통해 신고하면 된다고 안내받았다.

◆“개인정보 유출 신고는 ‘당사자’만”··· 전국민이 다크웹 들여다봐야 하나?

침해 신고는 신청인 정보와 피신청인 정보를 입력한 뒤 신고·상담 내용을 작성하는 방식이다. 그러나 개인정보위가 안내한 신고센터는 피해 신고를 당한 당사자로 제한하고 있다. 인터넷에 떠도는 개인정보 유출을 피해자가 직접 인지하고 이를 신고해야 하는 프로세스다.

제3자가 신고할 수 있는 창구는 없느냐는 질문에 개인정보위는 “당사자가 아니더라도 신고할 수 있다”고 답했다. 이에 작년 12월 26일 신고 절차를 마쳤다. 답변이 돌아온 것은 1월 3일 저녁이다.

우선 센터는 제보한 개인정보 유출 웹사이트의 인터넷주소(URL)가 ‘404 Not Found(요청한 페이지를 찾을 수 없습니다)’로 인해 확인을 할 수 없다고 답했다. 그러나 <디지털데일리> 확인 결과 4일 저녁 무렵까지 해당 URL에 접근 가능했고, 개인정보가 담긴 문서파일도 다운로드받을 수 있었다.

또 당사자가 아니더라도 신고를 할 수 있었다고 답변받았으나 신고센터에서는 개인정보에 관한 권리 또는 이익을 침해받은 사람이 그 침해사실을 신고할 수 있다고 명시돼 있는 개인정보보호법 제62조 제1항을 안내했다. 개인정보 유·노출은 친고죄라는 내용이다.

하루에도 수만명 이상의 개인정보가 유통되는 와중에 이를 신고할 수 있는 것은 당사자로 제한돼 있다. 온 국민이 다크웹을 뒤져가며 자신의 개인정보가 유출돼 있는 것은 아닌지 확인해야 하는 상황이다.

설령 신고를 하더라도 제대로 된 조치를 기대하기 어렵다. 애당초 해외에 서버를 둔 해킹포럼인 만큼 즉각적인 대응은 어려울 것이라 판단, 유출 사실을 인지하고 대응하라는 차원에서 한 신고였으나 404 Not Found의 문턱을 넘지 못했다.

EU GDPR에서는 개인정보보호 분야에서 적극적으로 활동하는 비영리 기구, 조직 또는 협회에게 본인을 대신해 민원을 제기할 수 있도록 하는 조항이 있다. 제80조 개인정보주체의 대리다. 그러나 현행 개인정보보호법에는 이런 조항이 빠져 있다. 국회 통과를 앞둔 법 개정안에도 유사한 내용은 없다.

◆개인정보 이슈 관련 질의에도 ‘매크로 답변’

개인정보위의 업무를 둘러싼 논란은 침해조사에 그치지 않는다. 작년 말 네이버클라우드는 때아닌 개인정보 논란을 겪었다. 개인용 클라우드 스토리지 서비스 ‘마이박스(MYBOX)’에 저장된 사진의 메타데이터를 활용한 통계 자료를 발표했는데, 일각서 개인정보 오·남용이라는 주장이 제기됐기 때문이다.

당초에는 메타데이터만 활용한 것이 드러나지 않아 문제시됐다. 네이버클라우드 마이박스 팀이 이벤트를 위해 직접 촬영한 사진이 사용자들의 파일처럼 오인된 영향이다. 이후 정확한 정보가 알려진 뒤 사건이 일단락됐으나 일부는 메타데이터도 개인정보인 만큼 문제라고 지적했다.

이와 관련 <디지털데일리>는 개인정보위에 ‘사진 파일의 메타데이터는 가명정보로 분류해야 할지, 익명정보로 분류해야 할지’, ‘메타데이터를 활용하는 것이 법·제도상 문제가 없는지’ 등을 질의했다.

질의에 대해 개인정보위는 “가명정보냐 익명정보냐는 사업자가 별도로 판단하도록 안내하고 있다”, “사업자가 법률에 따라 개인정보 또는 가명정보를 처리한 것인지 확인할 필요가 있다”는 원론적인 답변을 내놨다. 국가 개인정보 컨트롤타워에 자문을 구했음에도 그 무엇도 해결되지 않았다. 해석에 대한 책임 역시 기업에게 일임한 모습이다.

◆만성적인 인력 부족 호소···그러나 정부는 ‘공공기관 축소’ 기조

일련의 사태는 개인정보위의 만성적인 인력·예산 부족에서 기인한다고 볼 수 있다.

개인정보위는 출범 초부터 줄곧 인력난에 시달렸다. 출범 1년 차에는 106건의 침해조사를 처리했는데, 동기간 접수된 침해신고는 320여건이다. 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정, 개인정보보호법 2차 개정안 추진, 가명정보 결합 사례 발굴 등 침해조사 외 처리해야 할 일은 산더미다.

조직 규모를 얼마나 키워야 원활한 대응이 가능할지는 미지수다. 개인정보의 가치가 점점 더 커지는 가운데 이를 활용하고자 하는 움직임도 많아지고 있다. 업무량의 지속 증가는 예견된 상태다.

하지만 인력 부족은 해소되기 어려울 것으로 보인다. 윤석열 정부는 지난 7월 공공기관을 축소하는 혁신 가이드라인을 발표했다. 개인정보위와 함께 개인정보 침해 실무 업무를 수행하는 KISA는 새해에 축소를 골자로 하는 조직개편을 발표한 바 있다. 인력 증원은커녕 감원이 우려되는 상황이다. 그야말로 총체적 난국이다.