갱단 멤버 용의자 200명에 대한 개인정보를 한 직원이 실수로 유출
유출 직후 갱단의 범죄와 쟁투 증가해...희생자들 대부분 DB에 포함된 인물들

[보안뉴스 문가용 기자] 영국의 정보위원회(ICO)가 뉴엄 런던 특별구(London Borough of Newham) 위원회에 14만 5천 파운드(한화 약 2억 2천만 원)의 벌금형을 내렸다. 범죄 갱단의 멤버들로 보이는 용의자 200명의 개인정보를 유출시켰기 때문이다.


사건은 뉴엄 런던 특별구 위원회의 한 직원의 실수로 인해 벌어졌다. 경찰의 첩보 활동으로 수집된 ‘갱단 상세 정보’ 목록을 44명의 수신자에게 실수로 전송한 것이다. 사건은 2017년 1월에 일어났고, 정보위원회가 이 사건을 공개한 것은 지난 주였다. 이메일 수신자에는 외부 자원 봉사 단체들로부터 위원회 내부의 청소년 범죄 전담 팀도 있었다.

최초의 갱단 관련 정보는 영국 경찰청에서 수집하고 뉴엄 런던 특별구 위원회로 넘긴 것으로 밝혀졌다. 여기에는 각 갱단 구성원들의 생년월일, 주거지 주소, 주로 소지하고 있는 무기의 종류 등의 민감한 내용이 포함되어 있었다고 한다.

여기까지만 일이 진행됐어도, 어느 정도는 수습이 가능했을지도 모른다. 그러나 이 정보는 걷잡을 수없이 퍼져갔다. 스냅챗(Snapchat) 플랫폼에도 이 정보가 올라가더니, 갱단들이 적대적 관계에 있는 갱단 멤버들의 정보를 공유하기 시작했다. 이런 활동이 2017년 5월과 9월 사이에 활발하게 목격됐다.

정보위원회는 “2017년에 갱단들 간의 폭력 사태가 다수 발발했다”며 “희생자들 대다수가 이 데이터베이스에 올라와 있었다”고 주장했다. 하지만 정보위원회는 데이터 유출 사건과 폭력 사태가 직접적인 연관이 있다고 표현하지는 않았다.

“폭력 조직들의 범죄 활동을 해결하려는 전 국가적인 염원과 노력에 대해서는 잘 인지하고 있습니다. 그것이 영국이라는 나라에 있어 얼마나 중요한 일인지도, 그 일을 직접 실행하는 기관들의 담당자들이 마주해야 하는 어려움 또한 잘 이해하고 있습니다. 수사와 관련된 기관들끼리 정보를 공유하는 것이 무척 중요한 일이라는 것도 잘 알고 있습니다. 하지만 수사 활동을 위한 것이라고 하더라도 합법적인 선 안에서 이뤄져야 합니다.” 정보위원회의 설명이다.

“정보위원회가 수사한 바에 의하면 뉴엄 위원회가 용의자들의 세부적인 신상 정보를 수많은 사람 및 조직들과 공유한 건, 과잉 대처였고, 공정하지 않았으며, 필요한 일도 아니었습니다. 특히 해당 데이터베이스의 ‘간략한 버전’이 공유 용도로 존재함에도 불구하고 ‘풀 버전’이 공유되었다는 사실도 치명적이라고 판단했습니다.”

정보위원회는 “뉴엄 위원회가 이러한 사실에 대해서 정보위원회에 알리지 않았다는 것도 이번 판결에 중요한 고려 사항이었다”고 말했다. “사건이 발생한 건 2017년 1월인데, 뉴엄 위원회가 자체적으로 조사를 시작한 건 그 해 12월의 일이었습니다. 민감한 정보를 다루는 데 있어 얼마나 위원회가 무감각했는지를 드러내는 부분입니다.”

정보위원회는 이미 지난 11월 정보 수집 및 공유와 관련하여 영국 경찰청에 개선 명령을 내리기도 했다. 뉴엄 위원회에 내려진 벌금형을 GDPR 이전의 데이터 보호법에 근거하고 있다. GDPR은 2018년 5월부터 시행됐고, 사건은 2017년에 발생했기 때문이다.

3줄 요약
1. 영국의 한 시 위원회, 범죄자 기록 잘못 공유해 2억 원 넘는 벌금형.
2. 한 직원의 실수로 용의자 상세 정보 담긴 DB가 공유됨. 이후 스냅챗을 통해서도 퍼짐.
3. DB 공유 이후 갱단들 간 폭력 사태 증가함. 희생자들 대부분 DB에 오른 사람들.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>