• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

서대문구 유권자 정보 유출로 본 개인정보 접속기록관리 이슈 2018.12.09

2012년 자유한국당(당시 새누리당)의 서대문구 유권자 정보 불법 유출 사건
행정안전부, 개인정보 접속기록 기록 연한을 6개월에서 1년으로 연장 준비 중
정부 주요기관 400여곳 중 1/4인 100여곳만 개인정보 접속기록관리 솔루션 구축

[보안뉴스 원병철 기자] 지난 8월 20일 자유한국당(당시 새누리당)의 서대문구 유권자 정보 불법 유출 및 사용 사건이 한겨레신문의 보도로 이슈가 되면서 소문으로만 들리던 유권자 개인정보 유출이 수면위로 올라왔다. 경찰은 2일 뒤인 8월 22일 내사에 착수했지만 11월 증거없음으로 수사를 종료한 상태다.

[이미지=iclickart]


간단하게 사건 내용을 살펴보면, 2012년 19대 총선을 앞두고 당시 서울 서대문갑 지역 의원인 이성헌 의원실에서 서대문구청을 통해 지역 유권자 정보를 입수했고, 입수한 유권자 정보로 불법 선거운동을 했다는 것이다. 서대문구청은 보도가 나간 후 바로 경찰에 수사의뢰를 했으며, 구청 감사부서를 통해 자체조사를 진행하겠다고 밝혔다. 경찰 또한 수사의뢰를 받은 후 곧바로 내사에 들어갔지만 11월에 증거없음으로 수사를 종결한 상황이다.

이번 사건에서 쟁점이 되는 점은 바로 서대문구의 유권자 개인정보 유출이다. 개인정보는 엑셀파일로 작성되어 유출됐는데, 서대문구는 해당 자료가 구청 전산망이 아니면 만들 수 없는 자료라고 언론사 인터뷰를 통해 밝힌 바 있다.

문제는 이미 7년 이상 지난 사건인데다, 당시만 해도 개인정보보호에 대한 인식이 미비할 때여서 누가, 언제, 유권자 정보를 유출했는지 확인하기가 쉽지 않다는 사실이다. 특히, 이번 사건과 관련해 본지가 취재한 바에 따르면 서대문구는 유권자 개인정보의 접속기록을 개인정보보호법 시행령에 따라 6개월만 보관했기 때문에 현재는 해당 정보가 없다고 말한 것으로 알려졌다.

여기서 개인정보 접속기록이란 개인정보 취급자 등이 개인정보 처리시스템에 접속한 사실을 알 수 있는 △계정(누가) △접속일시(언제) △접속자 정보(무엇을) △수행업무(왜) 등을 전자적으로 기록한 것을 말한다(행정안전부 ‘개인정보의 안전성 확보조치 기준 해설서’ 2017년 1월). 이를 이번 서대문구의 유권자 개인정보 유출에 대입해 설명하면, 어떤 사람이 언제 어느 컴퓨터에서 서대문구 유권자 정보에 접속해 개인정보를 수집한 뒤, 어떤 목적으로 사용했는지 알 수 있도록 저장한 기록을 남겼다는 말이다. 이러한 기록을 자동으로 남기는 솔루션이 바로 개인정보 접속기록관리 솔루션이다.

이번 사건을 계기로 정부는 법 개정을 통해 개인정보 접속기록을 6개월 이상 보관할 수 있도록 확대하고자 하고 있다. 즉, 서대문구 사건에서 개인정보 접속기록이 남아있지 않기 때문에 조사가 쉽지 않자, 보관기간을 늘리겠다는 판단이다.

그런데 본지에서 취재한 바에 따르면 개인정보 접속기록관리 솔루션이 국내에 보급되기 시작한 것은 2015년부터다. 활발히 보급되기 시작한 건 2016~2017년에 불과하다. 보다 정확히 말하면 2017년 1월 ‘개인정보의 안전성 확보조치 기준 해설서’가 나온 이후부터다. 이는 2012년 서대문구 유권자정보 유출사건 때는 개인정보 접속기록관리 솔루션이 없었을 가능성이 크다는 것을 보여준다.

하지만 행정안전부는 개인정보 접속기록 연한인 6개월에만 초점을 맞추고 있다. 행정안전부는 ‘개인정보처리시스템의 접속기록관리 강화 추진’ 방침을 세우고, 주요 시스템의 접속기록을 1년 이상으로 연장하는 한편, 접속기록 자체 점검주기를 반기별 1회 이상에서 분기별 1회 이상으로 늘리겠다는 방침을 세웠다. 이를 위해 행정안전부는 지난 9월부터 3개월간 서면조사와 현장조사를 통해 전국 광역·기초 지자체 240여개에 대한 현황조사를 진행하고 있다.

그러나 문제는 현재 중앙부처와 지자체, 공사와 공단 등 주요기관 중 개인정보 접속기록관리 솔루션을 도입한 곳이 1/4 정도에 불과하다는 점이다. 본지에서 파악한 400여개 중 300여개의 주요기관들이 아직 해당 솔루션을 도입하지 않고 있다. 이에 보안업계에서는 개인정보 접속기록 연한에만 초점을 맞춰서는 안된다고 조언한다. 우선 개인정보 접속기록관리 솔루션을 도입하는 게 우선이라는 설명이다. 기록 연한 연장은 그 다음 순서라는 얘기다.

우리나라를 비롯해 전 세계는 현재 개인정보의 보호와 활용에 집중하고 있다. EU GDPR과 미국 캘리포니아 소비자 프라이버시법(Consumer Privacy ACT) 등 세계에서는 이미 개인정보 보호와 활용을 위한 강력한 새 법안을 내놓고 있고, 우리나라 역시 개인정보에 관한 업무를 대통령 직속 개인정보보호위원회로 일원화하려는 움직임을 보이고 있다.

이러한 상황에서 올해 제기된 개인정보 접속기록관리 이슈는 매우 중요하다. 유출된 개인정보 현황을 빠르게 인지하고 언제, 누가, 어떤 개인정보를, 얼마나 유출했는지를 알아야만 신속한 개인정보 회수 등 적절한 대책을 수립할 수 있기 때문이다. 이번 사건을 반면교사 삼아 철저한 대응방안을 마련해야 할 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>