교인들 개인정보 줄줄이 샌다… 취약한 교회 정보 관리 어떻게 뚫리나

2011년 이름, 주민등록번호, 연락처 등의 개인정보 유출 피해를 막기 위해 개인정보보호법이 제정됐다. 그럼에도 카드사·통신사 가입자 정보가 대거 유출돼 큰 피해가 발생하면서 개인정보 보호에 대한 인식이 높아졌다. 이에 많은 기관과 단체, 기업이 개인정보 보호를 강화했다.

하지만 상대적으로 인적·물적 자원이 부족한 종교계는 여전히 개인정보 보호가 미흡한 상황이다. 기독교계도 마찬가지다. 성도의 개인정보가 빼곡히 적힌 주소록이 인터넷에 나돌고 있을 정도로 상황이 심각하다. 개인정보를 수집할 때 성도의 개별 동의를 받아야 하지만 생략하는 경우도 많다. 이단들은 이 같은 상황을 악용해 성도들의 개인정보를 빼내 접근하거나 포교하고 있다.

지난 23일 이동현 교회정보기술연구원장과 함께 교회의 개인정보 보호 실태를 알아보기 위해 인터넷 검색을 해봤다. 성도들의 개인정보가 노출되고 있는지 알아보기 위해서였다. 이 원장이 구글 검색창에 교회 주소록, 성도 연락처, 단기선교 등 몇 가지 키워드를 입력했다. 검색된 페이지를 넘기며 각각의 결과를 조사했다. 그러자 불과 2∼3분 만에 몇몇 교회의 주소록이 나타났다. 단순히 이름 정도가 아니라 성도들의 생년월일, 주소, 휴대전화 번호 등이 적힌 엑셀 파일이 여러 개 눈에 띄었다.

한 교회 홈페이지의 공지사항에는 ‘소년부 교사 및 아동 주소록입니다’라는 제목과 함께 ‘2011_교사_및_소년부_주소록.xls’라는 파일이 올라 있었다. 2011년 작성된 것으로 제목 아래에 ‘시트1은 교사 주소록, 시트2는 소년부 아동 주소록입니다’라는 친절한 설명까지 덧붙여 있었다.

대전에 있는 제법 큰 교회 홈페이지에도 청년회 주소록이 올라 있었다. ‘2012년 청년회 주소록’이라는 제목 아래 엑셀 파일이 첨부돼 있었다. 이들 파일에는 이름, 휴대전화 번호, 생년월일, 주소 항목 아래 수십 개의 리스트가 이어졌다.

개인정보는 살아 있는 개인에 관한 정보로서 이름, 주민등록번호, 영상 등을 통해 개인을 알아볼 수 있는 정보를 말한다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 결합하면 쉽게 특정 개인의 정보에 접근할 수 있다.

개인정보는 개인정보보호법에 따라 처리·보호돼야 한다. 개인정보를 해당 정보 주체의 동의를 받지 않고 임의로 제3자에게 제공하거나 제공 받으면 5년 이하의 징역 또는 5000만원 이하의 벌금형에 처해진다. 교회가 성도의 개인정보를 타인에게 제공한 경우에 해당된다. 또 교회의 관리 부실로 개인정보가 유출되면 행정 과태료 및 과징금을 받는다.

교회가 취급하는 개인정보는 이름, 연락처 등을 비롯해 헌금 내역, 목회자가 심방 때 듣게 된 성도의 질병 정보, 교역자나 직원의 이력 등이 있다. 보통은 성도들 개인정보가 교회의 컴퓨터, 비밀번호가 걸려있는 교회 홈페이지나 교적관리 시스템에 잘 보관돼 있다고 생각한다. 하지만 위 사례처럼 인터넷에서 검색되는 경우가 허다하다.

구글은 국내 포털보다 더 강력한 검색 서비스를 제공한다. 웹 페이지에서 지운 첨부파일이 검색되기도 한다. 구글은 웹 페이지 링크 주소뿐 아니라 웹 페이지의 정보 자체를 서버에 저장했다가 검색 결과로 보여주기 때문이다. 이런 상황을 활용할 줄 아는 전문가라면 검색엔진을 통해 얼마든지 특정 정보를 얻을 수 있는 것이다.

개인정보를 범죄에 이용해 돈을 빼앗는 보이스피싱이 이런 경우다. 이들은 온라인 공간에 떠도는 여러 정보를 조합해 특정 개인의 상황을 유추한다. 정확도가 상당하다. 이름부터 주소, 생년월일까지 들어있는 교회 주소록을 바탕으로 교회 홈페이지 사진 등을 감안하면 특정 성도의 재력까지 파악할 수 있다고 한다.

해외에 자녀를 유학 보낸 부모들을 대상으로 유학 중인 딸을 납치했다며 돈을 요구하는 범죄가 이처럼 이름, 연락처 등 사소한 정보의 해킹으로부터 시작된다. 경찰청 통계에 따르면 지난해 1∼10월 보이스피싱 피해 건수는 1만8900여건, 피해액은 1900억원에 이른다. 피해 규모가 2016년보다 증가했다. 2016년 한 해 피해 건수는 1만7000여건이었다.

교회의 개인정보 유출은 보이스피싱 피해 및 법적 문제 외에도 이단들에 악용되기 쉽다. 이단들은 불법으로 취득한 성도 정보를 토대로 포교 활동을 한다. 또 이단이 교회 새신자로 등록한 뒤 자신의 정보를 제공하고 개인정보 이용 동의를 하지 않았다며 문제 삼아 교회에 어려움을 줄 수도 있다.

이 원장은 “실제 한 교회는 성도들 개인정보가 노출돼 이단들의 무차별적인 연락에 시달렸다”며 “성도 개인정보를 저장한 웹 서버가 해킹당한 것이 문제였다”고 설명했다.

교계에 개인정보 보호 인식이 확립된 곳도 많다. 개인정보 관리 실태를 측정하기는 어렵고 개인정보를 수집할 때 개인정보 이용 동의서를 받고 있는지를 살펴보면 정보보호 인식 정도를 알 수 있다. 정보 처리자인 교회는 성도 개인정보를 수집할 때 반드시 개인정보 이용 동의서를 받게 돼 있다. 특히 교적에 새신자 정보를 넣을 때 반드시 필요한 조치다. 교회 요람을 만들 때도 개인정보 이용 동의가 필요하다.

대한예수교장로회 통합 총회는 매회 선출된 총대들의 인적사항을 수집하며 개인정보 이용 동의서를 받고 있다. 또 총회 홈페이지에 회원으로 가입할 때도 개인정보 이용 동의를 얻고 있다.

서울 순복음노원교회는 올해 ‘성민장학생’을 모집하며 개인정보 수집 처리 동의서를 요구했다. ‘2018년도 성민장학회 장학생 모집 공고’에서 공통 제출서류로 자기소개서, 교역자 추천서, 자원봉사 활동 계획서, 개인정보수집 처리 동의서를 제시했다.

이들뿐 아니라 많은 교단, 교회가 홈페이지 하단에 ‘개인정보 보호정책’ 메뉴를 만들고 개인정보 수집에 대한 동의, 개인정보의 범위, 수집 및 이용 목적 등을 알리고 있다.

단체로 여행자보험에 가입할 때는 개인정보 이용 동의가 무시되기 쉽다. 이 원장은 “단기선교를 앞두고 단체로 여행자보험을 가입할 때 개인정보 이용 동의서 없이 인솔자가 알아서 보험 가입서를 작성하면 불법”이라고 강조했다.

과학기술정보통신부 정보보호정책관 송정수 국장은 “개인정보 유출은 사실상 원천 차단이 어려운 만큼 예방이 중요하다”며 “만약 유출사고가 발생하면 2차 피해 방지를 위해 정부에 신속하게 도움을 청해야 한다”고 말했다. 그는 “한국인터넷진흥원이 개인정보 관련 웹 취약점을 점검하고 있으며 불법 유통되고 있는 개인정보도 삭제해준다”고 설명했다.

전병선 기자 junbs@kmib.co.kr