정보보호 의지는 같지만 방향이 달라 문제

개인정보보호법 개정 이후 가장 큰 이슈가 된 것은 바로, 지난해 금융기관 ATM 기기 천정에 설치된 CCTV로 개인 계좌정보, 비밀번호 등이 고스란히 노출됐던 사건이었다. 특히, 저장된 영상을 관리하는 곳이 해당 금융기관이 아닌 외부 보안업체여서 자칫 큰 피해로 이어질 수도 있는 상황이었다. 이러한 내용이 언론에 알려지면서 시정조치 및 과태료 처분이 이뤄졌다.

이 사례뿐만 아니라 ‘개똥녀’, ‘국물녀’, ‘거제도 마티즈 아줌마’ 등 주변에서 개인영상정보 유출로 인한 피해사례를 심심치 않게 볼 수 있다. 최근 영상기기의 발전은 이러한 피해를 더욱 늘리고 있지만, 적절한 규제가 어려운 것이 사실이다.

소상공인은 개인영상정보 보호 사실상 힘들어

안전행정부에 의하면 개인정보보호법 시행이후, 270건의 행정처분이 이뤄졌다. 주로 버스, 지하철, 은행, 백화점 등 일정 수준 이상의 규모가 있는 곳으로 자체적으로 관제실을 운영하거나 보안업체 등을 통해 영상정보의 관리가 이뤄지고 있는 곳이었다. 때문에 개인영상정보의 관리나 위반사실이 있을 경우 쉽게 개선이 가능하지만 문제는 개인에 의한 영상정보유출이나. 소규모의 상업시설, 개인택시와 같은 경우다.

개인택시를 예로 들면 전국 개인택시는 16만 여대로 매년 1회의 정기교육이 이뤄지고 있다. 하지만 택시 내부에 대한 블랙박스 촬영이나, 음성녹음이 위법이라는 것을 모르는 경우도 허다하다. 개인택시 연합회에서는 택시 내부에 설치된 블랙박스의 경우 녹음불가, 운전자 중심의 내부촬영을 해야 한다는 것을 안내하고 있지만 개인사업자라는 특성상 집체교육은 어렵다는 입장이다. 소상공인 등의 실정도 이와 다르지 않다. 모형 CCTV를 설치한 경우, CCTV가 아니라고 생각하기에 아직까지 안내표지판을 설치하고 있지 않은 경우도 있으며, 개인정보보호법에 대해 알지 못하는 이들도 있었다.

이에 대해서 안전행정부는 지속적인 홍보활동을 하고는 있지만 전 국민을 대상으로 교육할 수 있는 방법이 없는 것이 현실이고 장기적인 활동을 통해 인식을 개선시켜야 한다는 입장이다. 또, 소상공인에 대해 개인정보보호법 위반으로 1~2천만 원의 과태료를 부과하는 것은 너무 과하다는 것이다. 전 국민을 대상으로 하는 법률이 일부 법인 또는, 공공기관에만 적용될 수밖에 없다는 것은 법안마련이 준비가 안 된 상태에서 급하게 이뤄진 것은 아닌지 의심이 들게 한다.

통합관제센터 운영규정 법으로 정비돼야

비단 문제는 개인정보보호법이 영상정보에 대해 적절한 규제를 하지 못하는 것만이 아니다. 최근 활발하게 구축되고 있는 통합관제센터 역시 CCTV의 목적 외 활용에 대한 지적이 일고 있다. CCTV의 효율적인 운영을 위해 통합관제를 하고 있지만 쓰레기무단투기, 교통, 재난재해의 목적으로 설치된 CCTV가 방범용으로도 활용되고 있지만 이에 대한 법적인 규정이 없으며, 관제센터 내 모니터링을 담당하는 이들이 계약직, 공공근로자, 공익요원 등으로 어떤 기준으로 모니터링 요원을 선발해야 하는지에 대한 기준도 없다는 것이다.

또한, 일각에서는 현재 개인정보보호법에 ‘개인정보처리자’를 반드시 둬야하고 일정한 자격을 갖춘 자여야 한다는 부분이 지켜지지 않고 있다며 전문적인 지식을 갖춘 사람이 고용돼야 하며, 공공뿐 아닌 민간에서도 기준을 따라야 할 필요가 있다는 주장을 하고 있다.

하지만 이보다 문제가 되고 있는 것은 영상정보의 관리라고 할 수 있다. 최근에는 영상정보의 이력관리가 가능해졌지만, 이전에는 수사목적이나 정보주체의 요청 등으로 반출된 영상정보가 어떻게 활용되는지, 사용 후 폐기됐는지 전혀 파악할 수 없었다. 이러한 가운데 새누리당 강기윤 의원과 김상민 의원, 그리고 민주당 진선미 의원 등이 개인영상정보보호를 위한 법안을 각각 들고 나왔다.

공공기관 유출사고 시, 피해심각

세 의원이 가지고 나온 법률안은 모두 CCTV의 설치와 관리, 그리고 이를 통한 개인 사생활 침해를 막는 것을 골자로 하고 있다.

먼저 새누리당 강기윤 의원은 ‘공공기관의 영상정보처리기기 설치 및 관리에 관한 법률’을 새롭게 제정해야 할 필요가 있다고 주장한다. 이를 제안한 이유는 현재 개인정보보호법에 영상정보처리기기에 관해 일부 규정하고 있지만, 체계적인 법률이 미비해 개인 사생활 침해를 가져올 수 있기 때문이라는 것. 또한, 현재 운영되고 있는 통합관제센터에서 영상정보 관리책임자, 영상정보 보호조치 등의 기준과 절차를 마련해 효율을 높이기 위함이다.

강기윤 의원이 발의한 법률안을 주요내용은 영상정보처리기기의 설치·운영 등에 관한 내용과 통합관제센터의 설치·운영 등에 대한 내용을 담고 있다. 또한, 영상정보처리기기 운영위원회를 설치해 설치계획의 타당성 여부와 운영에 관한 사항, 관제요원의 자격기준 및 교육에 관한 사항을 관리한다. 이와 함께 영상정보의 수집·이용 및 제공에 대해서도 수집목적 외의 사용이나 제3자에 제공을 금하고 있다.

중요한 것은 최근 무분별하게 설치되고 있는 CCTV에 대한 규정과 통합관제센터의 규모, 근무인원, 자격요건에 대해 명확히 한 것이다. 또한, 영상정보처리와 관련된 법 규정이 흩어져 있는 것을 하나의 법안으로 마련했다는 것도 들 수 있다. 하지만 이러한 법률이 공공기관에만 한정됐다는 것에 아쉬움을 남긴다.

이에 대해 강기윤 의원실은 “공공기관에 대해서 제정안을 마련한 것은 민간부분에 대한 과잉규제는 부담으로 작용할 수 있다. 그리고 민간은 자가 방범의 목적인 반면, 공공기관에서의 유출사고는 매우 심각한 피해를 가져올 수 있기 때문에 공공기관에 대한 제정안을 마련했다”고 입장을 밝혔다.

민간부문 개인영상정보 유출 심각, 법제도 마련돼야

이와는 다르게 민주당 진선미 의원은 공공과 민간을 모두 아우르는 ‘개인영상정보보호법’을 준비 중에 있다. 진선미 의원 역시 현재 개인정보보호법이 개인영상정보의 특수성을 반영하지 못하고 있는 것과 개인영상정보의 오·남용 및 유출의 위험에도 관리와 규제 기준이 미흡한 것을 이유로 하고 있다. 특히, 현재 개인정보보호법이 CCTV에 대해서만 규정하고 있는데, 최근 등장한 차량용 블랙박스 등 또 다른 영상정보처리기기 등에 대해서도 규제가 필요하다는 것이다.

진선미 의원이 준비하고 있는 법안은 우선 개인영상정보보호를 최우선으로 하고 있으며, CCTV 등의 설치규제와 운영에 대한 내용도 담고 있다. 또한, 공개된 장소에 영상정보처리기기를 설치하는 경우, 운영목적 및 설치 대수 등을 신고·등록하도록 하고 있다. 이와 함께 개인영상정보의 관리 및 보호, 통합관제센터 구축 및 운영에 관해서도 법령으로 규정화했다.

진선미 의원실은 “현재 개인정보보호법 25조에 영상정보에 대한 내용이 규정돼 있긴 하지만 개인정보보호법이 너무 많은 내용을 다루고 있고 포괄적이기도 한 것이 문제”라고 하면서, “대부분 지침으로 구속력이 없어 이를 규율화해야 한다”는 입장이다. 특히, 강기윤 의원 측과는 다르게 공공뿐 아닌 민간에 대해서도 규율을 하는 것은 공공분야는 안행부의 지침으로도 규제를 할 수 있지만 민간은 그렇지 못하기 때문으로 법률 등을 통해 구속력을 가질 필요가 있으며, CCTV를 등록해 관리해야 한다는 것이다.

제정안 마련까지 상당한 시간이 소요될 것! 보호장치 필요해

강기윤 의원, 진선미 의원이 통합관제센터 운영, CCTV 설치, 개인정보 관리 등에 대한 내용을 담은 제정안을 발의, 준비하고 있다면 새누리당 김상민 의원은 현행법을 개선, 개인정보의 유출을 차단하는 것을 골자로 한, 개인정보보호법 개정안을 발의한 상태다.

김상민 의원이 개정안을 발의한 것은 현재 개인정보보호법으로는 영상정보에 대한 제대로 된 관리가 어렵고 구체적으로 정의가 되지 않았기 때문이다. 물론 제정법에 대한 고민이 없던 것은 아니다. 하지만 개인정보보호법 개정안이 시행된 지 얼마 안됐고 이러한 상황에서 제정안을 새롭게 내놓는 것보다는 핵심부분을 보완하는 것이 중요하다고 본 것이다.

김상민 의원 발의안의 주요내용은 2조 8항의 신설이다. 이 조항에 의하면 ‘개인영상정보를 관리하는 곳은 내부통제 시스템을 두고 개인정보의 유출, 변조 및 오남용 등의 부정행위를 방지하기 위한 방안을 마련해야 한다’. 또한, 72조 1의2항에 ‘29조3항을 위반해 개인정보 접속기록 및 처리기록의 변경 훼손·말소 등에 대한 처벌규정’을 새롭게 마련했다.

이러한 법안마련은 통합관제센터 내에서 중요한 영상정보를 취급하면서 자기도 모르게 저지를 수 있는 실수는 물론 의도적인 정보유출을 막기 위함이다. 또한, 단행법이 필요하다고 인지하지만 법안이 마련되기까지 정보주체의 권리가 보호돼야 한다는 것이 개정안을 먼저 발의한 이유다. 단행법에 대한 공감과 시간이 필요해 우선 중간단계로 개정안을 통해 영상정보를 보강하고, 연구를 진행해 단행법을 제정해야 한다는 것이 김상민 의원실의 입장이다.

법안 마련 필요하나 시간이 필요할 것

안전행정부는 이러한 의원실의 움직임에 대해 법안 발의가 통과된 후 보조를 맞추겠다는 입장으로 말을 아끼고 있다. 다만, 안전행정부 역시 공공기관 및 대형 법인의 경우, 조금만 규제를 해도 잘 지켜지는 반면 민간분야의 규제가 어려운 것이 사실이라고 하면서, 이번 개정안 및 제정안들이 규제법으로 조심스럽게 검토돼야 한다는 입장을 보이고 있다. 특히, 법안을 통해 규제를 하는 것은 많은 논의가 필요하고 하루아침에 개선이 되지는 않을 것으로 예상하고 있다.

지금까지 현재 진행 중이거나 진행될 예정인 개인정보보호법과 CCTV 관련법에 대해 알아봤다. 이러한 법안이 아직 제조사에 미치는 영향은 없지만, 법안과 개정안 모두 CCTV 설치와 운영, 규제에 대한 내용이 담겨있는 만큼 보안업계 모두 촉각을 곤두세우고 있는 형편이다.

<글 : 김영민 기자>

[월간 시큐리티월드 통권 제204호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>