• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인영상정보보호 필요성은 공감, 법적 규정 필요성도 있다 2013.09.23

\r\n

\r\n\r\n\r\n
법 시행 2년, 영상정보 처리기기 설치와 관리 어떤 것이 필요한가

\r\n


\r\n

2011년 9월 개인정보보호법이 시행되면서 CCTV에 대한 설치·운영에 대한 규정도 마련됐다. 특히, 공공기관에 한해서만 적용되던 영상정보 처리기기 규제가 민간까지 확대됐으며, 처벌규정이 마련돼, 개인정보의 무분별한 유출로 인한 피해를 줄일 것으로 기대됐다. 하지만 아직까지 CCTV를 설치 운영하면서도, 설치목적이나 사실 등에 대해 고지하지 않는 곳을 심심치 않게 볼 수 있으며, CCTV 영상정보 등이 인터넷에 무분별하게 업로드 되는 것을 볼 수 있다. 때문에 공공 및 민간에서 CCTV를 어떻게 설치하고 운영해야 하는지 되짚어볼 필요가 있을 것으로 보인다.

\r\n


\r\n

개인정보보호법 시행 이후, 영상정보 처리기기 설치·운영 가이드라인이 마련됐다. 이는 공공기관 및 민간의 영상정보 처리기기의 설치·운영 및 개인영상정보 보호에 대해 준수할 사항을 쉽게 이해할 수 있는 기준을 제시한 것으로 지난해 3월 제정됐으며, 동년 12월 개정·시행됐다. 공공과 민간의 가이드라인을 비교한 주요 내용을 살펴보면 공공에서는 영상정보 제공 이후, 파기 등의 확인절차가 신설됐고, 설치 금지 장소의 구체화, 녹음 불가 등의 내용이 주를 이루고 있으며, 민간에서는 설치 금지 장소 구체화와 녹음 불가, 촬영 각도와 관련된 사항이 추가된 것을 살펴볼 수 있다.

\r\n


\r\n

영상정보 설치·운영 가이드 공공·민간 대부분 같다

\r\n

공공과 민간부문의 영상정보 처리기기 설치·운영 가이드라인을 살펴보면 기본적으로 동일한 것을 알 수 있다. CCTV 설치 목적이 같기 때문인데 기본원칙과 주요내용은 영상정보 처리기기를 설치·운영하려는 자는 개인의 사생활이 침해되지 않도록 영상정보 처리기기를 최소한으로 설치·운영해야 한다. 이를 위해 영상정보 처리기기를 임의조작·녹음금지, 안내판 설치를 통한 설치사실 공지하고 운영·관리 방침을 수립해 책임자 지정해야 한다. 또한, 이를 위탁할 경우, 관리 감독을 철저히 해야 한다.

\r\n


\r\n

기본적인 원칙과 주요내용은 위와 같이 동일하지만 공공기관에서는 한 가지 더 고려해야 할 것이 있다. 영상정보 처리기기를 설치할 때 의견수렴을 거쳐야 한다. 때문에 행정예고를 실시하고 공청회 등을 통해 의견을 청치하거나 지역주민을 대상으로 하는 설명회나 설문조사가 필요하다. 또한, 개인영상정보 열람을 청구했을 때, 기본적으로 이를 제공해야 하지만 보관기관이 경과했거나 다른 사람의 사생활 등을 침해할 수 있을 경우 이를 거부할 수 있다. 공공기관에서는 이에 더불어 범죄수사, 공소유지·재판수행에 중대한 지장을 초래하는 경우에도 청구 거부가 가능하다.

\r\n

\r\n

\r\n

영상정보 청구 시, 어떻게 해야할까?

\r\n

그렇다면, 영상정보의 청구를 받았을 때는 어떻게 해야할까? 기본적으로 다른 사람을 식별할 수 없도록 모자이크 등의 마스킹 처리를 해야 한다. 또한, 청구를 요청한 이의 인적사항과 영상정보의 내용 및 명칭, 열람 목적 등을 기록해야 하며, 사본을 제공한 경우에는 해당 영상의 내용과 제공한 사유를 기록해야 한다. 이 부분은 과연 잘 지켜지고 있을까? 공공기관이나 대부분의 규모가 있는 곳에서는 잘 지켜지고 있으나, 소상공인이나 소규모 사무실에서는 이에 대한 부분이 아직 잘 지켜지지 않고 있다. 동영상에 마스킹 처리를 하는 기술적인 부분역시 이를 어렵게 하고 있다. 이유는 소상공인이나 소규모 사무실에서 운영하는 CCTV의 경우, 카메라와 녹화기능만 갖춘 DVR 등으로만 설치·운영되기 때문이다.

\r\n


\r\n

이러한 가운데 최근 VPMS(Video Privacy. Management System)의 도입 필요성에 대한 논의가 활발하게 진행되고 있다.

\r\n


\r\n

효율적인 관리위해 내부통제 시스템 도입 필요

\r\n

설치장소 및 운영목적 고지, 영상정보 제공 등에 대한 부분은 어떻게 보면 가장 기본적인 사항으로 조금만 신경을 쓰면 되는 부분이다. 지난해 3월부터 11월까지 국토교통부에서 조사한 관리현황 실태점검을 한 결과에서도 관리적 조치인 운영·관리방침 수립 및 시행에 관해서는 양호한 결과가 나왔다.

\r\n


\r\n

하지만 영상정보 처리기기 관리 서버의 비밀번호 미설정 등의 기술적 조치는 개선이 필요하다. 이는 인가된 관리자가 아닌 이의 접근이 가능하다는 것을 의미하는 것으로 경찰청에서도 차량방범용 CCTV의 개인영상정보에 대해 인가된 사용자에 대한 행위 통제가 필요하다고 밝힌 바 있다. 이외에도 한국도로공사, 한국토지주택공사, 인천국제공항공사 등에서도 아직까지는 잘 운영되고 있지만 내부통제 기능의 도입 필요성에 한목소리를 냈다.

\r\n


\r\n

운영실태 개선 및 제도적 규정 필요

\r\n

최근 공공·민간에서는 영상정보의 유출 및 피해의 심각성, 그리고 이를 보호할 수 있는 방안 등에 대한 논의가 이뤄지고 있다. 공공·민간 등이 모인 ‘개인영상정보보호 포럼’에서는 최근 불거진 금융기관 영상정보 처리기기 운영에 대한 심각성 및 이에 대한 대안이 필요하며, 현재 운영 실태에 대한 개선이 필요하다고 주장하고 있다.

\r\n


\r\n

이러한 가운데 영상정보의 운영이 위탁·운영되는 부분도 문제로 지적되고 있다. 민감한 정보를 취급하면서 이를 어떻게 관리하는지에 대해 알 수 없다는 것이다. 가이드라인에는 영상정보를 위탁·운영하는 것에 대해 허용되고 있지만 이를 관리하는 곳에 대한 관리·감독을 철저히 하고 홈페이지에 위탁운영·관리하는 곳의 업무 내용을 지속적으로 게재해야 한다고 명시돼 있다.

\r\n


\r\n

하지만 확인해 본 결과, 이를 쉽게 찾을 수 없거나 위탁운영과 관련된 사항에 대해 찾을 수 없는 곳도 있어, 가이드라인을 통해 위탁·운영 시, 홈페이지 등을 통해 명시할 것만이 아닌 관리방침 및 운영절차에 대한 규제가 마련돼야 할 필요성이 있을 것으로 보인다.

\r\n


\r\n

<글 : 시큐리티월드·보안뉴스 특별취재팀>

\r\n


\r\n

[월간 시큐리티월드 통권 제200호(sw@infothe.com)]

\r\n


\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>