코로나19 확진자의 대표적 증상인 발열을 체크하기 위해 얼굴 촬영 열화상 카메라가 곳곳에 설치돼 있다. 일부 열화상 카메라는 열 체크 기능 이외에 인터넷과 연결하여 출·퇴근 관리용으로도 많이 이용하고 있다. 하지만 불필요한 통신 기능이 활성화되어 있거나 얼굴·음성 등 개인정보를 무단으로 저장하여 이용할 경우 이를 악용한 해킹 등 사이버 침해로 이용자의 개인정보가 유출될 가능성이 있는 것으로 확인돼 세심한 주의가 요구된다.
과학기술정보통신부와 개인정보보호위원회는 지난 6월 말~7월 중순 국내 유통되는 네트워크 연결기능이 있는 주요 열화상카메라 3종을 대상으로 얼굴(이미지), 음성 정보 등 개인정보가 외부로 유출될 수 있는지 여부 등 보안취약점을 중심으로 긴급 약식 점검을 실시했다고 23일 밝혔다. 그 결과 2종의 기기에서 보안에 취약한 부가적인 통신기능이 기본적으로 활성화 되어 있어 인터넷 연결 시 해커가 이를 악용하면 기기의 개인정보 등이 외부로 유출될 수 있는 것으로 확인했다. 부가적인 통신기능은 외부로 파일 전송이 가능한 FTP(File Transfer Protocol) 통신시도 및 암호화되지 않은 통신서비스가 가능한 터미널 서비스(Telnet) 활성화 등이다.
과기정통부와 개인정보위는 이번 긴급 점검을 바탕으로 12월까지 추가적인 보안취약점 점검과 함께 설치·운영자를 대상으로 이용실태를 점검할 계획이다. 과기정통부는 국내에서 많이 이용되는 주요 기기를 추가적으로 선별해 개인정보 외부 유출 기능이 있는지 여부 등 보안취약점 점검을 실시하고, 개인정보위는 주요 공공기관 및 민간 기업 기기 설치·운영자를 대상으로 개인정보보호법상 준수사항 이행 여부 등을 점검할 예정이다.
정부는 이번 긴급 점검결과에서 나타난 보안취약점으로부터 열화상카메라를 안전하게 이용하기 위해서는 네트워크 기능이 없는 제품 또는 기기를 인터넷과 연결하지 않거나 매뉴얼, 보안담당 부서(전문가)를 통해 불필요한 통신기능 여부 등을 꼼꼼하게 살펴보고 보안취약점 삭제 등 보안조치를 취한 뒤 이용해줄 것을 당부했다.
과기정통부는 지난해 10월부터 개인정보나 중요정보 유출 우려 등 국민의 불안감을 해소하기 위해 기기 수입·제조 기업을 대상으로 정보통신망연결기기 등이 일정 수준의 보안을 갖추었는지 시험해 정보보호인증을 해오고 있다. 과기정통부 관계자는 “국내 열화상카메라 제조 기업 2곳이 정보통신망연결기기등 정보보호인증을 신청해 시험 단계에 있다”고 밝혔다. 정부는 개인정보나 중요정보 유출을 방지하기 위해 정보통신망연결기기(IP카메라, 디지털 도어록 등 IoT기기)에 정보보호인증 제품을 사용해줄 것을 권고했다.
개인정보위는 개인정보 과다수집과 오·남용 방지를 위해 코로나19 관련 얼굴 촬영 열화상카메라 운영시 개인정보보호 수칙을 시행하고 있다. 수칙에 따르면 카메라 촬영은 단순히 발열여부 확인 용도로만 일시적으로 운영해야 하며 촬영영상 저장·전송 기능은 꺼놓아야 한다. 저장·전송기능을 비활성화할 수 없는 기종은 하루에 1차례 이상 저장된 개인정보를 파기하도록 했다.
아울러 불가피하게 얼굴 영상을 저장해야 하는 경우 촬영 대상자들에게 저장 사실을 명확히 고지하고 동의를 받아야 한다. 저장 범위는 최소한으로 하고 무단열람·유출 방지 등 안전조치를 해야 하며 개인정보 처리 목적을 달성한 경우나 정해진 보관 기간(4주)을 지났을 때는 지체 없이 촬영 영상을 파기해야 한다. 다중이용시설 등 출입 시 얼굴 촬영 열화상카메라에 찍힌 이용자는 자신의 얼굴 등 개인정보가 수집·저장되는지를 확인하고 삭제를 요청할 수 있다. 이 과정에서 개인정보 유출이나 오·남용 사실을 알게 되면 개인정보침해신고센터(국번없이 118 또는 인터넷 홈페이지 privacy.kisa.or.kr)에 신고하면 된다.
김재중 선임기자 jjkim@kmib.co.kr