\r\n\r\n\r\n\r\n |
법 시행 2년, 영상정보 관리 아직 멀었다
\r\n
\r\n
지난 2012년 11월, 농협과 지방은행들이 천정에 CCTV를 설치하고 ATM(Automatic Teller’s Machine, 현금자동입출금기)을 촬영하고, 촬영한 영상과 고객정보를 외부업체에 위탁해오다 적발된 사건이 있었다. 당시 사건은 CCTV 개인영상정보 유출의 대표적인 사례로 알려지며 사회적으로 큰 파장을 일으켰다. 뿐만 아니라 택시 내부를 촬영한 차량용 블랙박스 영상이나 해킹된 IP 카메라 영상은 항상 인터넷 검색어 순위에 오르며 흥밋거리가 되고 있다. 그렇다면 이러한 CCTV의 개인영상정보 누출에 대해 기관과 기업들은 어떻게 대응하고 있을까?
\r\n
\r\n
CCTV 영상은 일반적인 개인정보와는 달리 개인의 사생활이 노출되는 것은 물론, 디지털로 기록되기 때문에 보존될 가능성도 높다. 특히, 온라인으로 공개될 가능성이 높기 때문에 다른 어떤 개인정보보다 보호를 철저하게 해야 한다. 하지만 실상은 그렇지 못하다.
\r\n
\r\n
금융기관에 설치된 CCTV는 믿을 수 있을까?
\r\n
금융기관의 ATM CCTV영상 유출은 개인영상정보 유출의 상징성으로 보이며 사회적 이슈가 됐다. 범죄를 예방하기 위해 설치된 CCTV가 오히려 개인정보를 수집하고, 수집된 정보가 범죄에 사용될 수도 있었기 때문이다.
\r\n
금융기관에서 CCTV를 설치한 이유는 고객을 위해서다. ATM 뒤에서 다른 사람의 비밀번호를 몰래 본다거나, 돈을 찾느라 지갑을 올려놓고 깜박 잊고 그냥 나온 사람들, 혹은 피싱 등 범죄를 통해 현금을 인출해가는 범인을 촬영해 범죄를 예방하고 감시하는 것이 목적인 것이다.
\r\n
\r\n
그런데 CCTV를 천정에 설치해 ATM을 이용하는 고객과 개인정보를 녹화하는 것은 물론 녹화된 개인정보를 외부업체에 맡겨 개인정보가 노출되도록 한 은행들이 적발된 것이다. 실제로 은행의 CCTV 개인영상정보를 다루던 외부업체 담당자는 마음만 먹으면 고객의 개인정보를 이용해 범죄에 악용될 우려가 있다고 밝혀 충격을 주었다.
\r\n
\r\n
때문에 전문가들은 내부관리자가 개인정보를 유출, 위·변조할 수 없도록 영상정보에 대한 내부통제 시스템이 필요하다고 주장한다. 내부관리에 대한 업무의 투명성이 확보되면 객관적인 안정성을 확보할 수 있다는 것이다. 특히, 개인정보보호법에 따른 금융기관의 내부통제 시스템을 살펴보면, 접근관리나 저장관리는 잘 이뤄지고 있으나 접근권한 등 내부 업무의 투명성은 제대로 이뤄지지 않다고 전문가들은 강조했다. 또한, 개인영상정보를 외부업체에 맡길 경우 철저한 관리감독과 교육이 필요하다고 조언하고 있다.
\r\n
\r\n
경찰청의 수배차량 검색정보는 어떻게 보호될까?
\r\n
범죄예방과 사건해결을 위한 CCTV의 기본적인 기능을 가장 잘 이해하고 사용하는 곳은 어디일까? 바로 경찰이다. 때문에 경찰은 필요하면 공공은 물론 민간 CCTV까지 모두 확인하고 수집할 수 있다. 하지만 반대로 말하면 그만큼 개인영상정보의 노출이 쉬울 수도 있는 곳이 바로 경찰이다.
\r\n
\r\n
여러 목적의 CCTV 중에서 가장 많은 수를 자랑하는 것이 바로 차량 방범용 CCTV다. 현재 차량 방범용 CCTV는 지자체에서 설치하고, 현재 경찰서별로 사후수사 자료로 활용하고 있다. CCTV는 총 3,136개소(5,640대)를 시스템으로 연계해 수배 차량을 자동검색하고 신속하게 지령을 내릴 수 있도록 하는 시스템이 운영되고 있다고 경찰청은 밝히고 있다.
\r\n
\r\n
경찰청은 기존 차량방범용 CCTV의 개인영상정보에 대한 허술한 운영관리로 심각한 사회문제가 발생할 수 있다는 우려로 인해 인가된 사용자(수사관)에 대한 행위 통제가 필요하다고 밝혔다. 예를 들면, CCTV 업체가 영세해 접근로그 보관이 미흡하고, IP 통합이 되어 있지 않아 접근권한 관리 등의 보안정책 수립이 곤란하거나, 타임서버가 없어 통과차량 수집시간이 불일치해 디지털 포렌식 수사에 제약이 될 수 있다는 것이다. 관제센터에 설치 운영 중인 차량방범용 CCTV는 범죄와 관련 없는 모든 통과차량을 모니터에 표출하고 저장한 뒤, 사후수사 목적으로 사용된다. 그러나 사후수사 시 수사관들이 범죄와 관련 없는 차량영상도 검색해 개인영상정보 보호가 제대로 이뤄지지 않을 가능성도 있다는 얘기다.
\r\n
\r\n
이와 관련해 경찰청은 오남용 방지대책을 기술적 대책과 제도적 대책을 구분해 제시하고 있다. 전국 방범용 CCTV 통합 IP를 설계하고, 인터넷으로 설치된 차량방범용 CCTV는 전용회선으로 교체해야 한다는 것. 또한, 오남용 및 유출 방지를 위해 내부통제 시스템도 도입해야 한다고 제시했다. 이와 함께 범죄차량자동검색시스템 운영지침을 수립하고 모든 조회 및 검색은 경찰서장의 승인 후 실시해야 하며, 조회기록은 5년간 보존해야 한다고 밝혔다.
\r\n
\r\n
또한, 신뢰도 확보를 위해서는 외부 비인가자에 의한 개인영상정보 유출사고 방지대책을 수립하고, 내부 인가자에 의한 개인영상정보 오남용 관리 환경을 조성해야 한다고 밝혔다. 여기에 정보보안을 위해 전용단말기, 전용 폐쇄망 운영, 방화벽 등 기술적 조치를 취하고, 효과적인 운영관리를 위해 수배차량 검색체계 접속 및 조회, 열람 권한을 정비하는 관리적 조치도 함께 이뤄져야 한다고 강조했다.
\r\n
\r\n
아파트 단지에서의 CCTV 개인영상정보보호는 안전할까?
\r\n
아파트나 주택 등 주거지역 역시 공공분야 못지않게 CCTV가 많이 설치되고 있는 지역이다. 다만, 주택단지 등은 지자체에서 직접 CCTV를 관리하지만 아파트 단지에 설치된 CCTV는 아파트 관리소에서 관리하기 때문에 문제가 발생할 소지가 많다.
\r\n
\r\n
한국토지주택공사(이하 LH)는 LH 개인영상정보 보호시스템 관리 실태에 대한 정기적·비정기적인 점검과 내부관리자의 교육훈련을 실시하고 있다. 이 결과 현재 LH에서 관리 중인 아파트에서 개인영상정보 유출 및 오·남용 사고 발생사례가 없었다고 LH는 강조했다. 그러나 시스템 도입시 막대한 예산이 추가로 소요된다는 점과 CCTV 관리자 불신에 따른 사기 저하 가능성은 우려했다.
\r\n
\r\n
지금까지 금융기관의 ATM CCTV 개인영상정보 누출사건과 경찰청의 차량 방범용 CCTV 영상보호, 그리고 LH의 아파트 단지 CCTV 영상정보 보호에 대한 사례를 소개했다. 다행이 금융권을 제외한 다른 공공분야에서의 개인영상정보 누출사건은 없었고, 금융권 역시 사건이 벌어지고 난 후 발 빠르게 대응하고 있다. 하지만 앞서 설명했듯 개인영상정보는 외부로 노출될 가능성도 높고, 정보유출은 물론 개인 사생활도 누출될 수 있기 때문에 철저한 보안과 보호가 필요하다.
\r\n
\r\n
<글 : 시큐리티월드·보안뉴스 특별취재팀>
\r\n
\r\n
[월간 시큐리티월드 통권 제200호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>
