[미디어스=송창한 기자] 개인정보를 '가명처리'해 정보주체 동의 없이 산업·연구 목적에 활용하게 하는 이른바 '데이터3법'(개인정보보호법·신용정보법·정보통신망법) 시행 이전부터 이미 개인의 민감정보가 기업의 영리목적에 활용되고 있었다. 이동통신사들이 가입자 휴대전화 위치확인 정보, 즉 기지국 접속기록을 별도의 데이터베이스(DB)를 만들어 사전 고지·동의 없이 축적했다는 내부 증언이 언론보도를 통해 나왔다. 이통사들이 빅데이터 사업에 눈을 뜨면서 3개월 가량의 가입자 기지국 접속기록을 보관하고 있다는 것이다.

2일 한겨레 <이통3사, 따로 DB만들어 '위치 정보' 몰래 모았다>단독기사에는 익명을 요구한 이통사 고위 임원의 증언이 실렸다. 이 임원은 한겨레에 "실제 이뤄진 통신이 어느 기지국을 경유했는지 등에 대한 정보는 과금 정보 데이터베이스에 보관하고, 기지국 접속기록은 네트워크 쪽에 따로 구축된 데이터베이스에 로우 데이터(가입자 확인이 안되는) 형태로 축적해 활용하고 있다"고 밝혔다.

한겨레 9월 2일 <이통사, 따로 DB 만들어 ‘위치 정보’ 몰래 모았다>

그는 "2000년대 중반까지만 해도 기지국 접속기록은 현재 데이터만 두고 삭제하거나 가끔 통신망 업그레이드 뒤에 하루 이틀 축적해 네트워크 품질 상태를 파악하는 용도로만 활용했는데, 2000년대 후반 이통사들이 빅데이터 사업에 눈을 뜨면서 축적 기간을 늘려 지금은 3개월까지 보관하고 있다"고 설명했다.

이통사들이 빅데이터 사업을 목적으로 특정 가입자가 언제, 어디에 있었는지를 시간대별로 확인해 동선까지 그릴 수 있는 데이터베이스를 가입자 몰래 구축해놓고 있다는 얘기다. 현행 개인정보보호법은 개인정보를 수집·이용할 때 정보주체에게 내용을 고지하고 동의를 받도록 규정하고 있다. 이 임원은 이통3사가 모두 같은 방식으로 기지국 접속기록을 축적하고 있다고 덧붙였다.

이어 이 임원은 "특정 기지국 접속자 명단을 질병관리본부 등에 제공한 것은 공익 목적이고, 통신비밀보호법과 감염병 예방법에 정해진 절차를 따른 것이라 크게 문제될 것은 없다고 본다"면서 "다만, 빅데이터 사업 목적으로 기지국 접속기록 축적을 시작할 때 별도 고지와 동의 절차를 제대로 이행하지 않은 것은 지금이라도 바로잡을 필요가 있는 것으로 판단된다"고 말했다.

해당 기사를 작성한 김재섭 한겨레 선임기자는 지난달 31일 칼럼 <"내 위치정보 수집 누가 허락했나요?">에서 "'가입자들의 위치를 나타내는 기지국 접속기록을 언제부터, 어떤 근거로, 왜 축적하기 시작했나요?' 한겨레는 지난 6월 중순 SK텔레콤, KT, LGU+ 등 이동통신 3사에 각각 물었다"고 밝혔다.

기사에 따르면 이통3사는 “전기통신사업법, 위치정보 이용 및 보호 등에 관한 법(위치정보법), 통신비밀보호법, 감염병예방법, 이용약관, 개인정보보호지침에 따라 휴대전화 위치정보를 축적하고, 정부가 법 절차에 따라 요구하면 제공하고 있다. 위치정보 축적기간은 최근 3개월"이라고 일치된 답변을 내놨다. 김 기자는 "언제부터 어떤 목적으로 쌓기 시작했는지에 대해서는 한결같이 입을 다물었다"고 했다.

한겨레 8월 31일 <“내 위치정보 수집을 누가 언제 허락했나요?">

이통사들로부터 답변을 들을 수 없었던 김 선임기자는 방송통신위원회 담당자에게 도움을 요청했지만, 방통위 측은 "통신망 품질에 대한 이의가 제기될 것에 대비하려는 것 같다"는 설명을 내놨다. 김 선임기자는 "이통사들에게 기지국 접속기록을 언제부터 왜 쌓았는지를 자꾸 물은 이유는 ‘몰래’ 한 게 아니라는 점을 입증하라는 것이었다"며 "기지국 접속기록은 가입자들의 동선을 보여주는 민감한 개인정보다. 이를 보관하려면 사전에 가입자들에게 어떤 근거로 왜 축적 보관하는지를 알리고 동의를 받는 게 옳다"고 했다.

20대 국회 말미에 정부여당이 통과시킨 '데이터3법'에 이번에 드러난 이통3사의 행위를 더해보면 기업의 개인정보 식별 우려가 커지는 게 사실이다. 데이터3법은 정보주체 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등에 가명정보를 활용할 수 있도록 규정한다. 이는 가명정보 활용범위가 상업적 연구까지 포함하는 것으로 해석되고 있다. 민간투자 연구, 기업 마케팅 전략 등에 정보주체 동의 없이 가명정보 활용이 가능하다는 것이다.

또 데이터3법은 가명정보를 개인정보 중 하나로 규정하면서도 정보의 수집출처 고지, 파기, 이전제한, 유출통지, 열람, 정정·삭제 등 개인정보처리자(기업 등)의 의무 모두를 가명정보에 적용하지 않는다. 가명정보 수집·활용 과정에서 정보주체가 내세울 수 있는 권리는 사실상 없다.

(사진=연합뉴스)

이번 사건에 대해 이지은 참여연대 공익법센터 간사는 2일 미디어스와의 통화에서 "근본적으로 개인의 일거수일투족이 확인되는 굉장히 민감한 개인정보다. 이를 아무도 모르게 보관하고 있는 것은 변명의 여지없는 법령위반"이라며 "100%에 가까운 스마트폰 보급률에 비춰봤을 때 모든 국민이 이통사로부터 피해를 입은 것으로 보인다. 개인적으로 손해배상 청구도 가능하지 않을까 싶다. 시민사회 대응방향을 논의 중"이라고 말했다.

이어 이 간사는 "기지국 접속기록을 3개월 보관하는 행위에 법적 근거가 있나. 빅데이터를 염두에 두고 데이터3법이 통과됐을 때 가명정보화를 해서 활용을 염두에 둔 것 아닌가 하는 의심을 안할 수 없는 상황"이라며 "최근 코로나19 상황으로 가입자 기지국 접속기록이 방역당국 등에 제공되는 사례 등을 비춰보았을 때 마음만 먹으면 로우데이터는 언제든 유의미한 정보가 될 수 있다"고 비판했다.

이 간사는 "데이터3법에 대한 시민사회 우려는 기업이 고객 동의없이 정보들을 가명정보화하면, 그 이후에는 기업이 뭘 하든 정보주체는 할 수 있는 권리주장을 할 수 있는 장치가 하나도 없다는 것"이라며 "법 시행 가이드라인이나 해설서도 개인정보 활용에 유리한 쪽으로 내용을 내놓고 있다. 정부 가이드라인도 그렇다면 로우데이터든 가명정보든, 재식별 위험이 커질 수밖에 없지 않나"라고 반문했다.

저작권자 © 미디어스 무단전재 및 재배포 금지