‘이석준 보복살인’의 빌미가 됐던 수원시 공무원이 유출한 개인정보 1100건에 대한 정보 유출 통지가 6개월이 넘도록 이뤄지지 않은 것으로 확인됐다.
개인정보 관리·감독을 맡고 있는 개인정보보호위원회와 이 사건을 수사한 검찰, 그리고 유출 통지 책임자인 수원시가 제도적 허점을 이유로 서로 책임을 떠넘기며 소극적으로 대처하는 동안 수많은 피해자의 개인정보 자기 결정권이 침해당했다는 지적이 나온다.
공무원의 개인정보 유출이 부른 ‘이석준 보복살인’
이석준은 지난해 12월 10일 과거 연인이었던 A씨의 집에 침입해 흉기로 A씨의 어머니를 살해하고 동생에게 중상을 입혀 지난달 25일 1심 재판에서 무기징역을 선고받았다. A씨는 이석준에 위협을 느껴 신변보호를 받던 중이었다. 이석준은 당시 흥신소에 50만원을 주고 서울 송파구 소재 A씨 집 주소 정보를 확보했는데 이는 수원시 공무원이 유출한 개인정보였다. 공무원이 유출한 공공 개인정보가 살인 범죄에 악용된 전례 없는 일이 벌어진 것이다.
그런데 이 공무원이 유출한 정보는 A씨 것만이 아니었다. 그는 수원시에서 ‘불법노점 단속’ 업무를 맡으면서 행정편의를 위해 국토교통부에서 관리하는 자동차관리정보시스템에 접근할 권한을 부여받았다. 여기서 개인정보 1101건을 빼내 흥신소에 팔고 2년 동안 4000여만원의 부당 이익을 취했다. 이 공무원이 2만원에 팔아넘긴 A씨의 정보는 흥신소 세 곳을 거쳐 이석준의 손에 들어갔다. 지난 5월 27일 1심 재판부는 개인정보보호법 위반과 특정범죄가중처벌법상 뇌물 혐의로 기소된 이 공무원에게 징역 5년과 벌금 8000만원을 선고했다.
유출 통지 책임자는 수원시…피해자 정보는 검찰에
14일 국민일보 취재를 종합하면 이 공무원에 의해 개인정보가 유출된 피해자들에게 이 사실을 알릴 책임이 있는 수원시는 이석준의 피해자 A씨 외에 다른 피해자들 누구에게도 통지하지 않았다.
개인정보보호법 제34조는 개인정보처리자는 개인정보가 유출됐음을 알게 되면 지체없이(해설집에 따르면 5일 이내) 해당 정보 주체, 즉 피해자에게 구제 절차와 함께 유출 통지를 해야 한다. 이 사건에서 수원시가 이 책임을 진 개인정보처리자에 해당한다.
수원시가 개인정보 유출 사실을 인지한 것은 지난 1월 10일 서울동부지검이 사건 수사 결과를 공개하기 전이었다. 수원시는 같은 달 7일 서울동부지검에 수사를 통해 확인된 유출 개인정보를 제공해 달라는 공문을 보낸 것으로 확인됐다. 그러나 일주일이 지나도록 유출된 개인정보를 특정하지 못하자 시 홈페이지 시정소식란에 “정확한 유출 내역을 확보하는 즉시 대상자분들께 개별적으로 알리겠다”고 고지했다.
그러나 이후 6개월이 넘는 현재까지 실제 유출 통지가 이뤄진 건은 한 건도 없었다. 1100건의 개인정보가 어떤 범죄에 연루될지도 모른 채 피해자들은 방치돼 있었던 셈이다.
이 같은 대처 뒤에는 검찰의 비협조도 있었다. 수원시와 개인정보위에 따르면 서울동부지검은 1심 판결 이전에는 수사 중인 사건이라는 이유로, 판결 이후에는 관계 법령이 없다는 이유로 유출된 개인정보를 수원시에 제공하지 않았다. 개인정보보호법은 개인정보 제3자 제공을 엄격하게 제한하고 있으며 특별한 사유가 없다면 정부 기관 간에도 개인정보 공유는 어렵다고 규정하고 있다.
서울동부지검 측은 이날 국민일보의 질의에 “수원시로부터 공문으로 개인정보 제공 요청을 받은 사실은 있으나 공문으로 답변을 회신한 적은 없다”고 답했다. 관계 법령이 없다는 이유로 개인정보 제공을 거절했다는 수원시와 개인정보위 주장과 관련해서 “답변을 하기 어렵다”고 했다.
개인정보보호법의 소관 기관인 개인정보위의 대응도 무책임하기는 마찬가지였다. 수원시 측은 “유출 통지를 위해 검찰로부터 개인정보를 제공받을 수 있는 관계 법령이 있냐고 개인정보위에 물었지만 ‘없다’는 답변을 들었다”고 주장했다. 이에 개인정보위 관계자는 “저보다 검찰직무와 관계된 법을 더 잘 아는 검사님이 안 된다고 답해서 검찰 쪽에 더 이야기할 부분이 없었다”며 “개인정보보호법에서 이런 경우 개인정보를 제공받을 수 있는 조문이 있는지 생각 못했다”고 말했다.
제도적 허점…수원시·개인정보위·검찰 최선의 노력 다 했나
그러나 개인정보보호법 제18조 2항(개인정보 제3자 제공) 5호는 공공기관에 대해 “개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 소관 업무를 수행할 수 없을 때 한해 보호위원회의 심의·의결을 거치면” 제3자에게 개인정보를 줄 수 있다고 규정하고 있다.
2020년 8월 출범한 개인정보위를 통해 문제를 해결할 방법을 모색할 수 있었다는 얘기다.
수원시가 개인정보위에 심의를 신청해 의결을 받으면 서울동부지검으로부터 1100건의 개인정보를 제공받을 수 있는 법적 근거가 생기지만, 6개월의 시간이 흐르는 동안 이 같은 노력이나 판단을 세 기관 중 어느 곳도 하지 않았다.
수원시는 본보 취재 과정에서 이 같은 사실을 지적받고서야 지난 12일 개인정보위에 개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한)에 관한 심의·의결을 신청했다.
이후 검찰 측도 “개인정보위, 수원시와 함께 이 사안에 대해 어떤 근거 조문을 가지고 협의 중”이라고 밝히고, 수원시에도 필요한 자료가 무엇인지 문의한 것으로 전해졌다. 수원시 측은 이에 “유출된 1101건의 개인정보 중 아직 유출 통지를 하지 못한 1100건의 개인정보라고 설명을 드렸다”고 밝혔다.
개인정보위 갔지만…‘수사기관 정보’ 둘러싼 혼선
수원시가 뒤늦게 개인정보위의 심의를 요청하고 나섰지만, 갈 길은 먼 상태다.
우선 출범 2년 차인 개인정보위가 공무원의 개인 정보 유출 사안이나 수사기관의 개인정보 자료 제공 관련 심의·의결을 하는 것 자체가 처음이다. 개인정보위 내부적으로도 처리 방침이 정해지지 않아 혼선을 빚고 있다.
국민일보의 질의에 한 심의 담당자는 ‘수사 중인 경우 혹은 소송이 진행 중이거나 그 절차가 끝난 경우 심의·의결하지 않을 수 있다’는 내부 운영규칙을 근거로 “수사 중이거나 소송 중인 사항은 대상이 되지 않는다”고 잘라 말했다. 수사나 소송 중인 사항을 심의하지 않을 수 있다는 ‘예외 조항’을 ‘금지 조항’으로 풀이한 것이다.
다른 개인정보위 관계자는 “수원시가 개인정보위에 심의를 신청한 만큼 수원시가 유출 통지를 할 수 있는 방법을 적극적으로 찾아야한다”며 판단의 여지가 있다는 입장을 내놨다.
또 다른 개인정보위 법률심의 관계자는 “애초에 그렇게 (운영규칙 23조에 대해) 말씀을 드리면 신청을 안 하는 경우도 있다. 왜냐면 반려 통지밖에 안 나가기 때문”이라고 말했다. 그러면서도 ‘예외 조항’이 아니라는 얘기냐고 다시 묻자 “제가 판단하는 사안이 아니라서 심의를 해보지 않고 판단해서 말씀드리긴 어렵다”고 말을 바꿨다.
‘개인정보 보호·피해 구제’ 적극적 판단에 달려
전문가들은 개인정보위 심의·의결 요청 조건을 규정한 개인정보보호법 제18조 2항 5호를 적극적으로 해석하면 수사기관이 수원시에 유출 개인정보를 제공할 수 있다는 판단이 가능하다고 지적했다. 각 기관이 ‘개인정보 보호’와 유출 피해 구제의 중요성을 얼마나 중요하게 보느냐에 달려 있다는 것이다.
개인정보 분쟁조정위원회 위원인 김보라미 변호사는 “서울동부지검의 상급기관인 대검찰청은 개인정보보호법의 적용을 받는 개인정보처리자”라면서 “수사 중인 사항에 대한 예외적인 조항이 적용될 뿐 당연히 판단을 받아볼 수 있다”고 말했다.
권헌영 고려대 정보보호대학원 교수도 “법률가·학자들 간에 법리 해석이 갈릴 여지가 있긴 하나 적극적으로 해석하면 충분히 가능하다”며 “수사기관은 수사자료 중 개인정보를 다루기 때문에 수사기밀 보호도 해야 하지만 개인정보보호도 해줘야 한다”고 말했다. 이어 “특히 수사 결과로 피해자가 특정돼 있다면 당사자들의 피해를 구제하기 위해서 협조해야 한다”고 말했다.
권 교수는 다만 “피해구제 조치에 대해 법률을 다루는 부처들 간에 의견이 다른데, 이런 상황은 해당 법 조항을 만들 때 예상했던 것이 아니다”면서 “이런 경우 법령을 개정해서 명확하게 처리하는 게 좋다”고 제언했다. 이어 “해당 조항에 ‘피해구제를 위해 필요한 경우 자료 요청을 할 수 있고, 정당한 사유가 없다면 거절할 수 없다’는 조건을 넣어서 정리하는 방식으로 문제를 해결할 수 있다”고 부연했다.
김보라미 변호사도 “제도적 미비가 심각하다. 현행법상으로는 해킹 사건으로 개인정보가 유출되는 경우에도 피해자들이 모르는 경우가 너무 많다”고 설명했다. 그러면서 “피해자들에게 유출 사실을 알려 주민등록번호 등을 변경할 기회를 줘야 하는데 자기 정보 결정권이 유명무실해진 상황”이라며 “수사 과정에서 개인정보 유출이 밝혀졌을 때 빠르게 피해자들을 특정해 통지하는 제도가 필요하다”고 강조했다.
법무법인 미션은 이날 수원시 권선구 공무원의 개인정보 유출 사건과 관련하여 유출 피해자에게 개인 정보 유출 사실을 통지할 수 있도록 절차에 협조하라는 민원을 수원시와 개인정보위 그리고 대검찰청에 각각 제기했다.
김성훈 대표변호사는 “충분히 개인을 특정할 수 있을 정도의 정보가 이미 유출돼 살인사건까지 발생한 지 수 개월이 지난 상황”이라며 “정부가 개인정보 제공에 의한 법적 문제를 핑계로 최선의 노력을 다하지 않아 유출 통지를 하지 않는 것은 큰 문제”라고 지적했다.
한편 개인정보위는 이날 6개월 전 ‘이석준사건’을 계기로 드러난 공무원의 개인정보 유출 사건 관련 재발 방지 대책을 뒤늦게 발표했다. 개인정보를 고의 유출하거나 부정 이용하는 경우 공무원을 무관용 원칙으로 파면·해임하는 ‘원스트라이크 아웃’ 적용하는 등 처벌을 강화하겠다고 밝혔다. 또 소관 부처와 시스템 운영·이용기관이 모두 참여하는 개인정보협의회도 설치 운영할 예정이다.
김용현 기자 face@kmib.co.kr