◈ 영장없는 통신자료 수집에 헌법소원 대응!

이동통신사에 통신자료 제공내역을 조회해 보셨습니까? 이통사가 자신의 성명, 주민등록번호나 주소를 경찰, 국가정보원과 같은 기관들에 제공했다는 사실을 확인하고 깜짝 놀란 분도 계시겠지요. 이통사와 정보·수사기관은 연간 1천만 건 이상 영장도 없이 이용자의 통신자료를 제공하고 제공받아 왔습니다.

이용자들이 경찰에, 국정원에, 이통사에 자신의 정보를 왜 가져갔는지 물어보아도 아무도 대답하지 않습니다. 정보제공 권한을 오남용했을 가능성이 다분하지만 누구에게 책임을 물어야 할지조차 불분명한 상황입니다. 기업과 국가기관의 밀월관계 속에 정작 정보의 주체들이 소외되는 상황입니다.

결국 이용자와 인권시민단체들이 반격에 나섰습니다. 집단적인 사례 분석으로 진상을 파악하자는 제안에 9백 명의 사례가 모였습니다. 그중 5백 명의 이용자가 지난 5월 18일 헌법소원을 청구하였습니다. 5월 25일에는 국가정보원과 서울경찰청 등을 상대로 한 민사소송과 행정소송이 제기되었습니다.

법적 대응은 시작일 뿐입니다. 이제 활동을 시작한 20대 국회에서 구체적인 입법 대안에 이르러야 할 것입니다. 이를 위하여 인권시민단체들은 계속 이용자들과 함께 문제를 제기하는 활동을 함께 해나갈 계획입니다.

◈ 미완으로 끝난 주민등록번호 개선

5월 19일, 19대 국회 마지막 본회의에서 「주민등록법 개정안」이 통과되었습니다. 지난해 12월 23일 헌법재판소가 주민번호 변경불허에 대해 헌법불합치 결정을 내린데 따른 것입니다. 이로써 많은 피해자들이 요구해 왔던 대로 주민번호를 바꿀 수 있게 되었습니다.

그러나 40년 만의 주민번호 제도 개선에 많은 기대를 걸었던 국민들과 인권시민단체들은 이번에 통과된 법안에 깊이 실망하고 있습니다. 임의번호 없는 주민번호 제도 개선은 반쪽자리일 수 밖에 없습니다.

국민식별번호에 생년월일, 성별 등 개인정보를 과도하게 노출하는 것은 그 자체로 인권침해이자 사회적 차별로 이어질 수 있습니다. 유출된 주민번호와 완전히 다른 번호로 보호받을 수 있어야 한다는 헌재 결정의 취지에도 부합하지 않습니다.

이제 이 미완의 과제는 20대 국회가 이어받아야 합니다. 개인정보 유출 피해를 입은 국민들 앞에 공청회도 갖고, 해외 사례도 검토하고, 충분한 사회적 토론과 국민적 합의를 거쳐 제대로 된 주민번호 개선을 일구어야 할 것입니다.

◈ “국정원 민주적 통제장치 마련해야” 각당 원내대표에 공개서한 발송

인권시민단체들의 연대모임인 ‘국정원감시네트워크’는 20대 국회의 원구성을 앞두고 원내 정당에 국정원에 대한 민주적 통제 장치 마련을 요청하였습니다.

각당 원내대표 앞으로 발송된 공개서한에서 국정원감시네트워크는 ▲정보위원회의 전임·상설화 ▲정보위 소속 보좌진의 회의 참석과 정보위 회의록 및 국정원 예산 열람을 가능하게 하여 국정원에 대한 민주적 통제 장치를 마련할 것을 제안하였습니다. 수사권 이관이나 국내정보수집금지 등 국정원에 대한 근본적 개혁에 앞서 우선적으로 이들 두 가지부터 시급히 개선할 필요가 있다는 것입니다.

그간 수없이 드러난 국정원의 전횡과 일탈을 멈추기 위하여 20대 국회가 국정원 개혁에 본격적으로 나서줄 것을 기대해 봅니다.

◈ ‘김을동’ 의혹글… 방심위, 명예훼손 ‘해당없음’ 결론

2016년 5월 12일, 방송통신심의위원회 통신심의소위는 새누리당 김을동 의원이 가족관계에 대한 의혹을 제기한 인터넷 게시글에 대한 삭제 요청에 대해 명예훼손에 해당하지 않는다고 판단했다고 합니다. 공인에 대한 의혹 제기는 표현의 자유로써 폭넓게 수용이 되어야 한다는 점에서, 이번 방통심의위의 결정은 당연한 것입니다. 다만, 통신심의소위 논의 과정에서 삭제해야한다고 주장하는 위원도 있었다고 하니 한심하네요.

◈ ‘北 찬양 논란’ 노스코리아테크, 접속차단한 韓정부 상대 소송 제기

지난 2016년 3월 24일, 방송통신심의위원회가 ‘노스코리아테크’라는 사이트에 대한 접속차단 결정을 내려 논란이 되었었죠. ( 4월호 참고) 방통심의위는 이에 대한 이의신청도 5월 3일, 기각했다고 합니다. 이에 이 사이트를 운영하는 영국인 운영자 마틴 윌리엄스는 한국 정부를 상대로 소송을 내기로 했다고 하네요. 윌리엄스는 “북한을 찬양하거나 이롭게 하려는 의도가 있다는 경고를 받아들일 수 없다”고 말했다고 합니다.

◈ 불법복제물 주소 링크… 법원 “저작권법 위반 아니다”

지난 5월 25일, 서울중앙지법은 항소심에서 인터넷 공유 사이트에 업로드된 불법 복제물의 주소를 단순히 링크한 것은 법에 저촉되지 않는다고 판결하였습니다. 단순히 인터넷 주소를 링크한 것은 저작권법이 금지하는 저작물의 복제나 전송에 해당하지 않으며, 불법행위의 방조도 성립하지 않는다는 것입니다. 이는 항소심의 결정으로 1심에서는 저작권법 위반 방조 혐의가 인정된 바 있습니다. 피고인 박모씨는 해외 동영상 공유 사이트에 올라온 일본 애니메이션 등 동영상 주소를 자신이 운영하는 사이트에 636차례 링크시켰다는 이유로 기소되었다고 합니다. 인터넷 링크는 오늘날의 인터넷을 가능하게 한 기반에 다름 아닙니다. 직접 타인의 저작물을 올린 것도 아니고, 그저 특정 저작물을 링크했다고 불법으로 처벌받을 수 있다면, 인터넷 링크를 통한 상호 연결과 자유로운 소통은 위축되고 말 것입니다. 진보넷은 이번 결정을 환영합니다.

◈ 한국 주소자원 거버넌스의 흐름과 평가 토론회 개최

다자간인터넷거버넌스협의회(KIGA) 주소자원분과에서는 약 1년에 걸쳐 한국의 주소자원 거버넌스의 현황과 과제에 대한 의견을 수렴하여 보고서를 정리할 예정입니다. ( 3월호 참고) 이에 지난 4월 18일까지 공개적인 의견 수렴을 진행하였으며, 이후 3차례에 걸쳐 주요 의제에 대한 토론회를 개최할 계획입니다.

지난 5월 20일(금) 오후 2시 광화문 변호사회관에서는 1차 토론회 가 개최되었습니다. 오병일 정보인권연구소 이사의 사회로 진행된 이번 토론회에서는 이동만 KIGA 위원장이 ‘한국 주소자원 거버넌스의 역사’를, 이영음 방송통신대학교 교수가 ‘세계 각국의 주소자원 거버넌스의 모델 비교, 분석’를 발표하였고, 다양한 이해관계자 그룹의 토론자의 토론이 있었습니다. 1990년대 초창기 민간 자율의 거버넌스 협의체로부터, 1998년에 설립된 인터넷주소위원회를 거쳐, 현재의 KIGA 주소자원 분과에 이르기까지 한국의 주소자원 거버넌스를 위한 기구는 계속 형태를 달리하며 지속되었지만 부침이 심했던 것도 사실입니다. 이번 토론회에서 토론자들은 현재의 KIGA 주소자원 분과도 지속가능성을 담보할 수 있는지에 대해 문제제기하며, 이를 담보할 수 있는 대안 마련이 필요하다는 것에 공감하였습니다.

2차 토론회는 라는 주제로 6월 17일(금) 2시, 같은 장소(광화문 변호사회관)에서 개최될 예정입니다.

◈ 한국 인터넷거버넌스포럼 논의 이슈 제안해 주세요!

2014년, 2015년에 이어 2016년에도 한국 인터넷거버넌스포럼(KrIGF)이 개최됩니다. 올해는 9월 23일(금), 세종대학교 컨벤션 센터에서 개최될 예정입니다.

5월 30일부터 2016년 한국 인터넷거버넌스포럼에서 논의될 워크샵을 제안받고 있습니다. 인터넷거버넌스포럼(IGF)은 특정 단체가 프로그램을 기획하는 것이 아니라, 참여자들의 제안을 통해 프로그램을 기획합니다. 누구나 인터넷거버넌스포럼에 워크샵을 제안할 수 있고, 또 스스로 워크샵을 준비해야 합니다. (물론 프로그램위원회에서 일정한 평가를 거쳐서 선정하게 됩니다.)

한국 인터넷거버넌스포럼을 통해 논의하고 싶은 이슈가 있다면 워크샵을 제안해보시면 좋을 듯 합니다. 워크샵 제안 기간은 6월 26일까지 입니다. 자세한 내용은 한국 인터넷거버넌스포럼 홈페이지를 참고하시기 바랍니다.

질문

전기통신사업자입니다. 수사기관에서 통신자료(이용자의 성명, 주민등록번호, 주소, 전화번호, 아이디, 가입 또는 해지일자)와 통신사실확인자료(이용자의 IP 주소 등) 제공을 요구합니다. 어떻게 해야 할까요?

답변

1. 통신자료 제공 요청시 : 수사기관이 법원이 발부한 영장이 아닌 통신자료제공요청서 등을 보여주면서 통신자료제공을 요청한다면 응하지 않아도 됩니다. 법원이 발부한 영장이 없다면 이용자의 개인정보를 제공할 의무가 없습니다. 대형 포털을 비롯하여 통신3사에서도 법원이 발부한 영장이 없으면 수사기관의 통신자료제공 요청에 응하지 않고 있습니다.

2. 통신사실확인자료 제공 요청시 : 수사기관이 법원에서 발부한 허가서를 들고 와서 통신사실확인자료 제공을 요청한다면 응해야 합니다. 그렇지 않다면 응할 필요가 없습니다. 요컨데, 위 ①, ② 경우 모두 영장이 있을 때만 자료를 제공하시면 됩니다.

상세설명

1. 통신자료제공 요청

수사기관이 통신자료를 요청하는 것은 전기통신사업법 제83조(통신비밀의 보호)에 근거하고 있습니다. ‘이용자의 성명, 주민등록번호, 주소, 전화번호, 아이디, 가입 또는 해지일자’가 통신자료입니다.

전기통신사업법 제83조는 전기통신사업자는 통신의 비밀을 침해하거나 누설해서는 안 된다는 원칙을 설명합니다. 예외적으로 법원, 수사기관 등에서 통신자료를 요청하는 경우에는 그 요청에 따를 수 있다고 하였습니다.

◈ 전기통신사업법 제83조(통신비밀의 보호)

 

① 누구든지 전기통신사업자가 취급 중에 있는 통신의 비밀을 침해하거나 누설하여서는 아니 된다.

 

② 전기통신업무에 종사하는 자 또는 종사하였던 자는 그 재직 중에 통신에 관하여 알게 된 타인의 비밀을 누설하여서는 아니 된다.

 

③ 전기통신사업자는 법원, 검사 또는 수사관서의 장(군 수사기관의 장, 국세청장 및 지방국세청장을 포함한다. 이하 같다), 정보수사기관의 장이 재판, 수사(「조세범 처벌법」 제10조제1항·제3항·제4항의 범죄 중 전화, 인터넷 등을 이용한 범칙사건의 조사를 포함한다), 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보 수집을 위하여 다음 각 호의 자료의 열람이나 제출(이하 “통신자료제공”이라 한다)을 요청하면 그 요청에 따를 수 있다.

 

1. 이용자의 성명

2. 이용자의 주민등록번호

3. 이용자의 주소

4. 이용자의 전화번호

5. 이용자의 아이디(컴퓨터시스템이나 통신망의 정당한 이용자임을 알아보기 위한 이용자 식별부호를 말한다)

6. 이용자의 가입일 또는 해지일

 

④ 제3항에 따른 통신자료제공 요청은 요청사유, 해당 이용자와의 연관성, 필요한 자료의 범위를 기재한 서면(이하 “자료제공요청서”라 한다)으로 하여야 한다. 다만, 서면으로 요청할 수 없는 긴급한 사유가 있을 때에는 서면에 의하지 아니하는 방법으로 요청할 수 있으며, 그 사유가 해소되면 지체 없이 전기통신사업자에게 자료제공요청서를 제출하여야 한다.

요청에 따라야만 하는 것이 아니라, 요청에 따를 수 있을 뿐입니다. 쉽게 말하면, 요청에 따르지 않아도 됩니다. 법적으로 아무런 문제도 없습니다.

수사기관이 법원으로부터 영장을 발부 받으려면 왜 영장이 필요한지 이것저것 설명해야 합니다. 번거롭습니다. 전기통신사업법 제83조에 따라서 전기통신사업자한테 직접 요청할 수 있으니 일단 통신자료 제공을 요청하는 겁니다. 수사기관은 자료를 쉽게 받으면 좋은 것이고 못 받으면 그만입니다. 반드시 필요한 자료라면 영장을 발부 받아서 압수수색하면 되기 때문에 밑지지 않는 일입니다.

전기통신사업자가 수사기관의 개인정보 제공 요청을 거절한다고 하여 어떠한 불이익이나 제재를 받는 것이 아닙니다. 이러한 경우 수사기관으로서는 법관이 발부한 영장에 의해 필요한 자료를 획득할 수 있습니다. 그러므로 전기통신사업자는 이용자의 개인정보 보호를 우선적으로 고려하여 개인정보 처리를 결정해야 합니다.

수사기관이 통신자료제공을 요청하면 법원이 발부한 영장을 가지고 오라고 답하시면 됩니다.

<참고>

법원은 영장이 없는데도 불구하고 수사기관이 통신자료를 요청하였다는 이유만으로 이용자들의 통신자료를 제공한 대형 포털사이트는 이용자들에게 손해배상을 해야 한다고 결정하였습니다.

또한 법원은 통신자료는 개인정보에 해당하므로 통신자료를 제3자에게 제공하기 위해서는 정보주체의 동의가 있거나 개인정보보호법 제17조 제1항 제2호의 사유에 해당되어야 한다고 하였습니다. 이외 경우에 통신자료제공은 영장을 통하여 이루어져야 한다고 밝힌바 있습니다. 정보주체의 동의가 없고, 개인정보호보법 제17조 제1항 제2호의 사유에 해당하지도 않고, 법원으로부터 사전 혹은 사후에 영장을 발부받지 않은 상태에서 제공받은 통신자료는 위법하게 수집된 증거로서 증거능력이 없다고 하였습니다.

◈ 서울중앙지방법원 2014.4.25. 선고 2013고합805 판결
(아직 확정된 사건은 아니나, 2심에서도 동일한 법리를 적용하여 증거능력을 인정하지 않았습니다)

 

통신자료제공에 기재된 내용은 피고인의 개인정보로서 피고인의 동의가 있다거나 개인정보보호법 제17조 제1항 제2호의 사유에 해당된다는 사실이 인정되지 않는 이상 수사기관은 원칙적으로 형사소송법 제219조, 제106조, 제3항에 따라 법원이 발부한 영장을 통하여 위 서류를 제출받아야 한다. 그러나 수사기관은 이를 OOO로부터 제출받음에 있어 위와 같은 정보를 수사 목적으로 사용하여도 된다는 점에 대하여 피고인의 동의를 받은 적이 없고, 법원으로부터 사건 내지 사후에 영장을 발부받은 사실도 없다. 그렇다면 위 통신자료제공은 위법하게 수집된 증거로서 증거능력이 없다.

2. 통신사실확인자료 제공 요청 아이피 주소는 통신사실확인자료에 해당합니다. 통신사실확인자료가 무엇인지 알려면 통신비밀보호법 제2조를 살펴야 합니다.

◈ 통신비밀보호법 제2조

((정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.)

 

11. “통신사실확인자료”라 함은 다음 각목의 어느 하나에 해당하는 전기통신사실에 관한 자료를 말한다.

 

가. 가입자의 전기통신일시

나. 전기통신개시·종료시간

다. 발·착신 통신번호 등 상대방의 가입자번호

라. 사용도수 마. 컴퓨터통신 또는 인터넷의 사용자가 전기통신역무를 이용한 사실에 관한 컴퓨터통신 또는 인터넷의 로그기록자료

바. 정보통신망에 접속된 정보통신기기의 위치를 확인할 수 있는 발신기지국의 위치추적자료

사. 컴퓨터통신 또는 인터넷의 사용자가 정보통신망에 접속하기 위하여 사용하는 정보통신기기의 위치를 확인할 수 있는 접속지의 추적자료

통신사실확인자료는 누구와 언제 통화했는지, 얼마나 오래 통화했는지, 몇 번이나 통화했는지, 인터넷 사이트의 접속이나 이용 기록, 인터넷에 접속한 컴퓨터의 위치(IP 주소), 핸드폰으로 통화한 위치 등에 관한 자료를 의미합니다.

◈ 통신비밀보호법 제13조(범죄수사를 위한 통신사실 확인자료제공의 절차)

 

① 검사 또는 사법경찰관은 수사 또는 형의 집행을 위하여 필요한 경우 전기통신사업법에 의한 전기통신사업자(이하 “전기통신사업자”라 한다)에게 통신사실 확인자료의 열람이나 제출(이하 “통신사실 확인자료제공”이라 한다)을 요청할 수 있다.

 

② 제1항의 규정에 의한 통신사실 확인자료제공을 요청하는 경우에는 요청사유, 해당 가입자와의 연관성 및 필요한 자료의 범위를 기록한 서면으로 관할 지방법원(보통군사법원을 포함한다. 이하 같다) 또는 지원의 허가를 받아야 한다. 다만, 관할 지방법원 또는 지원의 허가를 받을 수 없는 긴급한 사유가 있는 때에는 통신사실 확인자료제공을 요청한 후 지체 없이 그 허가를 받아 전기통신사업자에게 송부하여야 한다.

수사기관이 요구한 이용자의 아이피는 위 통신사실확인자료 중 ‘사’에 해당합니다. 이러한 통신사실확인자료를 전기통 신사업자에게 요청하기 위해서는 법원의 허가가 필요합니다. 이 절차는 통신비밀보호법 제13조에 규정되어 있습니다.

법원은 통신사실확인자료제공을 허가하면서 수사기관이 가져갈 수 있는 자료의 범위를 한정해 놓습니다. 예를 들어 2015. 5. 25. 12:00~23:59라고 범위가 한정되어 있습니다. 그런데 이 한정된 범위를 넘어서 00:00~23:59까지의 통신 사실확인자료를 제공하면 허가 범위 밖의 부분에 대해서는 전기통신사업자가 임의적으로 경찰에 이용자의 개인정보를 제공한 것이기 때문에 이용자에 대해서 법적인 책임을 질 수 있습니다. 법원의 허가가 있다고 하여 무턱대고 통신사실확인자료를 제공하여서는 안 됩니다. 이용자의 개인정보 보호를 위하여 허가서를 꼼꼼하게 살피셔야 합니다.

아주 가끔 경찰이 통신자료제공요청서나 심지어 통신사실확인자료제공요청서를 들고 와서 이용자의 로그기록이나 아이피 주소를 요구하는 경우도 있습니다. 제공하시면 안 됩니다. 통신자료제공요청서로 통신자료가 아닌 로그기록이나 아이피 주소를 제공할 수 없습니다. 또 통신사실확인자료제공요청서는 법원의 허가를 받기 위해서 법원에 제출해야 하는 것이지 전기통신사업자에게 주는 것이 아닙니다. 통신사실확인자료는 판사의 날인이 포함된 법원의 허가장에 의해서 제공할 수 있을 뿐입니다. 자신의 정보도 아닌 이용자의 개인정보를 이용자의 동의 없이 전기통신사업자가 임의로 제출하면 법적인 책임을 질 수 있습니다.

전기통신사업자는 이용자의 개인정보 보호를 최우선에 두어야 합니다.

편집자주 : 지난 몇 달에 걸쳐서 국가 감시 시대에 내 정보 보안을 지킬 수 있는 방법에 대해 연재를 하였습니다. (자세한 내용은 이미 디지털 보안 가이드 홈페이지에 올라와 있으니, 필요하신 분들은 찾아보실 수 있습니다.) 이번 호에서는 연재 마지막으로 디지털 보안에 대한 이해를 돕기 위한 몇 가지 말씀을 드리고자 합니다. 실용적인 내용은 아니나 오히려 중요한 내용일 수 있습니다.

▣ 나를 위협하는 것은 무엇인가?

사람들이 질문합니다. 아이폰을 써야 하는지, 안드로이드를 써도 괜찮은지? 메신저 보안을 위해서 어떤 프로그램을 쓰면 좋은지? 이러 저러한 보안 조치를 취하면 감시로부터 안심할 수 있는 것인지? 등등.

그런데 모든 사람에게 적합한 보안 방법은 애초에 없습니다. 우선 사람들마다 위협의 수준과 종류가 다르기 때문입니다. 현재 수배 중인 사람과 그렇지 않은 사람이 느끼는 위협의 정도는 다를 것입니다. 어떤 사람에게는 국가의 감시가 더 문제가 되지만, 또 다른 사람에게는 기업의 정보 수집이 더 문제될 수 있습니다. 보안이 더 필요한 메시지가 있는 반면, 덜 중요한 메시지도 있을 것입니다. 결국 자신이 필요한 상황을 스스로 분석하고, 이에 적합한 보안 조치를 취하는 것이 중요합니다. 디지털 보안 가이드의 <위협 모델링>은 이에 대해 설명하고 있습니다.

▣ 내가 감당할 수 있어야 한다

그래도 더 좋은 보안 조치를 취하면 좋은 것 아닐까? 예를 들어 금고를 생각해보죠. 여러 분이 1000원을 갖고 있습니다. 이를 보호하기 위하여 10,000원 짜리 금고를 사는 것이 타당할까요? 은행의 금고가 내가 갖고 있는 간이 금고보다 더 튼튼하고 안전한 것은 사실이겠지만, 그렇다고 모든 사람의 집에 은행의 금고를 두라고 할 수는 없겠죠. 자신의 위협 수준에 맞는 보안 투자를 하는 것이 적절할 것이고, 그렇기에 모든 사람에게 일률적인 보안 수준을 요구할 수 없는 것입니다.

또한, 보안에는 일정한 타협(trade-off)이 존재합니다. 보안은 일정하게 비용과 불편함을 수반하게 됩니다. 스마트폰에 비밀번호를 걸어 놓지 않으면 편리하지 않습니까? 비밀번호를 설정하더라도 12자리보다는 4자리 비밀번호가 간편하지요. 보안 통화를 위해 굳이 레드폰 앱을 찾아 통화하는 것도 귀찮습니다. 보안 조치를 취하는 것은 중요하지만, 본인이 불편하거나 힘들어서 감당할 수 없는 수준이라면 곤란합니다. 비용도 내가 감당할 수 있는 수준이어야 하고, 내가 실행할 수 있을 만큼 쉬워야 합니다. 일단 쉬운 것부터 습관으로 만드는 것이 중요합니다.

▣ 보안은 과정이다

보안 위협은 커뮤니케이션의 다양한 지점에서 발생할 수 있습니다. 예를 들어, 내 비밀번호가 유출되어 내 데이터에 누군가 접근할 수도 있고, 업체가 보관하고 있는 내 데이터를 수사기관이 압수수색할 수도 있습니다. 스마트폰을 압수 당할 수도 있고, 나도 모르게 감청될 수도 있습니다. 보안 조치를 이러한 일련의 과정을 고려해야 합니다. 창문을 열고 다닌다면, 문에 달아 놓은 좋은 자물쇠는 의미가 없어질 것입니다. 마찬가지로, 스마트폰 기기 암호화도 하고, 암호화 통신을 하지만, 비밀번호가 ‘1234’라면 어떤 의미가 있겠습니까?

또한, 각각의 보안 조치는 모든 것에 대한 보안이 아니라 특정한 위협에 대한 보안입니다. 거꾸로 말하면, 특정한 보안 조치를 취했다고 해도 다른 보안 위협이 있을 수 있다는 것이지요. 예를 들어, 스마트폰을 기기 암호화를 하면, 압수수색을 당했을 경우 스마트폰 내에 있는 데이터에 대한 보안은 되지만, 스마트폰으로 통화할 때 감청하는 것은 막을 수 없습니다. 감청을 막기 위해서는 종단간 암호화가 지원되는 보안 앱을 사용해야지요. 물론 이렇게 해도 통신사를 통해서 내 위치정보를 수집하는 것은 막을 수가 없겠죠? 스마트폰을 끄지 않는 이상.

모든 것을 완벽하게 하지 않으면 의미가 없다고, 여러 분께 스트레스를 주기 위해 하는 말이 아닙니다. ^^ 완벽한 보안이란 없습니다. 하나하나 쉬운 것부터 시작합시다. 다만, 하나의 보안 조치를 취했다고 완료된 것이 아니라는 것입니다.

▣ 아는 것이 힘이다

이렇게 자신에게 적합한 보안 조치를 취하기 위해서는 결국 위협과 보안 조치에 대한 이해가 필요합니다. 그렇기 때문에, 공부가 필요하죠. 누구나 보안 전문가가 될 필요는 없지만요. 진보넷과 디지털 보안 가이드의 내용만이라도 계속 주시하시고, 공부하시는 것도 좋은 방법입니다. ^^ 앞으로도 진보넷은 시민과 활동가에게 필요한 보안에 대해 앞서서 공부하고 알려드릴 예정입니다.

“인디스페이스? 독립영화전용관?” “독립영화? 예술영화? 그거 요즘 멀티플렉스에서도 볼 수 있잖아?” 독립영화전용관 인디스페이스는 독립영화를 상영하는 극장입니다. 1년 365일, 쉬지 않고 독립영화를 상영합니다. 동시대와 함께 숨 쉬는 영화, 자본의 논리에 밀려 상영기회를 얻지 못한 영화들이 바로 인디스페이스에 있습니다. 현재 우리는 멀티플렉스의 편리함과 획일성에 익숙해져 있지만, ‘영화를 본다’는 것은 시간과 품을 들여 각자 나름의 재미를 찾는 일입니다. 대기업이 운영하는 멀티플렉스는 수익과 자본의 논리에서 자유롭지 못합니다. 자본의 논리에서 배제된, 규모는 작지만 울림이 큰 영화, 가치 있는 영화들이 인디스페이스에서 여러분을 기다립니다.

소셜펀치 링크 바로가기 ☞ 인디스페이스 후원함 바로가기

2002년, 발전노조 파업으로 들썩이던 그때 작은 벤쳐 회사에 다니며 무료한 직장생활을 하던 내게 작업화면 뒤에 숨겨놓은 발전노조 홈페이지는 세상을 향한 큰 창이었습니다. 결국 명맥만 유지하던 직장생활을 청산하고, 갈 곳 없던 제게 발전노조 홈페이지를 지키기 위해 싸우던 진보넷은 열린 공간으로 보였었습니다. 다행히 자원활동을 하겠다고 뜬금없이 연락한 저에게 활동기회를 주고, 심지어 노는 김에 상근이나 하라며 취업까지 시켜준 진보넷. 당시 거의 유일무이한 정보통신운동 단체, 또한 흔치 않은 민중언론 참세상에서 일하며 인권에 대한 개념도 배우고, 막연히 동경하던 노동운동 현장도 접하는 좋은 기회였습니다. 이후 많은 곳을 거치며 일해왔지만, 정보통신, 인터넷의 인권 문제가 나오면 어김없이, 서슴없이 ‘진보넷’을 외치며 도움을 요청하거나 상담 받아볼 것을 권했습니다.

정보통신 공간에서 인권을 침해받고 감시의 대상이 되는 것은 결국 사회적 약자입니다. 당장 먹고 사는 일을 해결하는 것이 가장 급한 사람들에게 인권, 그것도 정보통신에서의 인권은 멀고도 쓸데없는 짓일지도, 또는 뜬구름 잡는 이야기일 수도 있습니다. 하지만, 항상 무엇인가에 의해 ‘감시’ 받고 있다는 것처럼 사람을 위축시키는 일도 드뭅니다. 그 ‘감시’에서 통제도, 탄압도, 이간질도 시작되니깐요. 거기다 그 ‘감시’ 시스템이란 게 참으로 ‘전문가’의 영역이어서, 그 시스템은 어떻게 작동되는지, 우리의 권리는 무엇이고, 저들이 지켜야할 선은 무엇인지 알기도 쉽지 않고, 들어도 이해하기 힘든 경우가 많습니다.

그래서 ‘진보넷’이 버티고 있다는게 큰 빽이 됩니다. 그것이 무엇이든, 어떤 신기술로 무장하고 치장한 것이든, 우리의 인권을 지키기 위해서 주장해야 할 것이 무엇인지를 분명히 밝혀주니깐요. 그리고, 저들이 그어놓은 한계를 넘어 우리의 영역과 권리를 확장시킬 것을 끊임없이 요구하니깐요. 그렇게 진보넷이 있어 CCTV로 비정규직 노동자들의 노조활동을 감시하던 사측의 행위가 ‘일상적인 관리’가 아닌 ‘인권 침해’, ‘사찰’ 임을 밝혀낼 수 있었습니다.

솔직히 고백하자면, 진보넷을 떠난 이후로는 진보넷의 활동이 무엇이었는지 큰 제목외에는 잘 알지 못합니다. 그럼에도 불구하고, 진보넷이 있고, 여전히 왕성한 활동을 하고 있다는 것은 가끔씩 확인하게 됩니다. 언젠가는 SOS를 쳐야 할 빽 같은 곳이니깐요.

아직도 그곳에서 굳건히 버티고 활동하고 있는 진보넷 활동가들께 감사드립니다. 그리고, 앞으로도 지금껏 그랬던 것처럼 수많은 사회적 약자들의 SOS에 응답하는 곳으로 버텨주시기 바랍니다. 저는 총회 위임장 말고는 드릴 게 없는 유령회원이지만, 그래도 진보넷이 필요한 분들을 만나면 여전히 ‘진보넷’을 외치며 소개해드릴 요량이니 잘 부탁드립니다. ^^

편집자 주 :
전자교통카드는 버스나 지하철, 최근에는 택시에 이르기까지 매우 편리한 교통요금 지불수단입니다. 우리 생활에서 어느덧 신체의 일부처럼 정착하였죠. 그러나 모든 사람의 모든 이동경로가 기록된다는 점에서 이 거대한 정보시스템과 정보인권의 관계에 대하여 생각해볼 가치가 있습니다. 최근 교통카드 시스템을 도입하는 덴마크에서 일어난 정보인권 논쟁을 살펴보았습니다.

 

번역오류는 della 골뱅이 jinbo.net 으로 알려주세요.

다른 나라들에서처럼 덴마크도 대중교통수단의 종이승차권을 전자승차권으로 대체하고 있다. “라이스코트”(교통카드)라고 불리는 덴마크 시스템은 영국 오이스터카드나 네덜란드 OV칩카르트와 유사한 비접촉식 전자칩이다.

승객은 여정을 시작할때 탑승 카드리더기 앞에 카드를 댄다. 다른 교통수단(기차, 전철, 버스)으로 환승할 때 같은 절차가 반복된다. 여정의 끝에서 승객이 하차 카드리더기 앞에 카드를 대면 교통요금이 계산되어 카드잔액에서 요금이 빠진다. 탑승/하차 카드리더기는 모든 기차와 전철역, 버스 안에 설치되어 있다.

승객들에게 전자칩카드는 편리함을 제공한다. 덴마크내 대부분의 공공교통수단에서 이용할 수 있고 승객들은 복잡한 요금 구조를 알아야 할 필요가 없다. 예를 들어 코펜하겐 광역권에서는 탑승 노선에 따라 8가지 요금제가 있고 어떤 경우에는 여정을 시작하는 곳과 끝나는 곳 사이에서 노선이 달라질 수 있다.

라이스코트 카드는 개인화와 익명화 버전이 있다. 익명 카드는 익명 라이스코트라 불린다. 개인화카드는 은행계좌를 개설할 때처럼 본인인증을 요구하고, 폭넓은 요금할인, 신용카드 자동이체, 라이스코트 분실이나 도난시 잔액 이전 등 우대서비스를 제공한다. 비개인화 라이스코트라는 이름에도 불구하고 익명 라이스코트는 진정한 익명이 아니다. 모든 카드 칩이 고유번호를 가지고 있고 그에 따른 모든 여정이 라이스코트 회사의 백엔드 시스템에 기록되기 때문이다. 승객들은 물론 프라이버시 보호를 위해 정기적으로 새로운 비개인화카드를 구할 수 있지만 그럴 경우 카드 비용이 10유로쯤 소요되고 구카드의 잔액은 사라진다.

프라이버시 관점에서 보았을 때, 덴마크 라이스코트는 재앙이다. 왜냐하면 카드 고유번호가 모든 승객들과 연결되어 있기 때문이다. 모든 카드 소지자의 여정은 중앙 데이터베이스에 등록되고 이 정보는 현재로부터 주민등록번호(개인화카드의 경우)와 함께 5년간 보관된다. 기차, 버스 등 공공 대중교통수단이 과거 상대적으로 높은 정도의 익명성을 보장했던 것에 비해(만연한 CCTV 감시카메라로부터도 비교적 안전하다), 이제는 여객이름기록(PNR)이라 불리는 시스템으로 모든 여정을 기록하는 항공시스템과 비슷해지고 있다. 비행기 여행과 다르게, 좀더 비싼 종이승차권에서는 익명 여행의 선택권이 여전히 존재한다.

라이스코트 시스템의 개인정보 보관 관행에 대한 대중적인 토론과 비판이 있었다. 공기업인 교통카드회사의 반응은 라이스코트가 지불카드(지불능력이 공공교통수단으로 한정된)이기 때문에 덴마크 회계법과 (EU법에 따른) 돈세탁방지법에 의해 모든 여정의 모든 거래에 대한 정보를 5년간 보관할 의무가 있다는 것이다. 나아가 다양한 부정승차에 대한 적발 목적에서 모든 승객의 교통 경로가 분석된다. 라이스코트는 보안이 부실한 [필립스사 제조] 마이페어 클래식 카드 설계에 기반해 있다. 그러나 카드 해킹은 라이스코트 회사에게 문제로 여겨지지 않는다. 왜냐하면 회사는 모든 부정승차 시도가 백엔드 시스템에서 탐지될 수 있다고 믿고 있기 때문이다. 보기에 따라서는 승객 교통 경로에 대한 감시가 카드칩의 부실한 보안에 대한 보완책인 셈이다.

라이스코트 요금 구조는 특히 하차 카드리더기가 버스안에 있는 버스로 이동할 때, 승객들이 하차 시점에 계산을 생략하거나 종착지에 도착하기 전에 계산할 수 있도록 우대서비스를 제공한다. 라이스코트 이용약관에 따르면 개인화카드는 계산이 적절하게 이루어지지 않았을 때 세 정류장 후에 차단될 수 있다. 이 경우 카드소지자는 블랙리스트에 올라 일년간 새로운 개인화카드 발급이 불가능해진다. 부정승차적발 시스템은 아마도 조기 하차와 같이 부분적으로는 부정승차일수 있는 미완성 여정이나 특정한 탑승 양식을 찾아볼 것이다. 탑승 양식에 대한 프로파일링은 승객 주소를 포함한 일반소비자정보를 상호참조할 것이다. 그러나 부정승차적발을 위한 프로파일링의 정확한 상세사항은 알려져 있지 않다.

대중적인 비판 때문에 덴마크 정부는 파울 슈미트 로펌에 라이스코트 회사의 정보처리 절차에 대한 조사를 의뢰하였다. 2016년 3월 29일 이 로펌의 보고서가 발간되었다. 이전에 라이스코트 시스템에 대해 평가했던 덴마크 개인정보보호 독립기구는 모든 탑승기록에 대한 5년 보관에 대하여 어떤 언급도 하지 않았다. 하지만 로펌 보고서는 법률적으로는 모든 여정에 대한 정보를 5년간 보관해야 필요가 없다고 결론을 내렸다. 이 거래가 어떤 여정에 대한 지불이라는 점에 대해 소비자가 더이상 다툴 수 없을 시점까지만 정보를 보관할 필요가 있다. 이 로펌은 덴마크에서 단순금융범죄의 공소시효에 따라 보관 기간이 3년이 될 수도 있다고 지적하였다. 프라이버시를 좀더 옹호하는 주장은 3년보다 더 짧은 보관 기간을 지지할 수도 있는데, 일반적으로 소비자가 활동이 없으면 다툴 수 있는 자신의 권리를 잃는다는 것이다. 덴마크 회계 명령의 공식 지침에서는, 오로지 청구서/지출 총액에 대한 서면만을 5년간 보관할 뿐 상세한 개인 통화내역은 보관하지 않는 전화회사 사례를 소개하고 있다. 소비자가 전화통화에 대해 더이상 다툴 수 없는 시점에서 회계서류는 청구총액만으로 충분하다. 분명, 동일한 원칙이 라이스코트 매표시스템에도 적용되어야 한다. 그러나 듣자하니 라이스코트 회사는 공식 회계 지침의 이런 상세사항을 놓쳤던 것 같다.

파울 슈미트 로펌의 두번째 권고는 소비자가 부정승차적발을 위한 개인정보처리에 동의를 해야만 한다는 것이다. 현재까지 이런 개인정보 처리에 대한 어떤 정보도 소비자에게 제공된 적이 없다. 이 권고가 좀 이상하긴 하다. 라이스코트 회사는 부정승차적발을 위해서는 정당한 이익을 위한 [동의] 예외 조항이 적용되기에 동의 없이 개인정보처리가 이루어질 수 있다고 주장했다. 무엇보다 소비자들이 (라이스코트를 원하는 한) 진정으로 거부권을 행사할 수 없으므로 개인정보처리에 대한 법적 동의가 여기서 거의 성립할 수 없다. 또 소비자 동의권이 실질적으로 의미를 지닐 수 있도록 라이스코트 회사가 충분한 정보를 제공할 것 같지도 않아 보인다. 상당히 의미심장한 사실은, 부정승차적발을 위한 개인정보처리에 대한 동의권이 강제될 수 있는지 없는지에 대해 보고서 안에서 토론이 있다는 것이다. 로펌은 동의가 자발적인 것이지만 이는 오로지 편도 종이승차권 등 라이스코트에 대한 대안이 존재하기 때문이라고 주장했다. 그러나 이런 대안은 어쨌거나 매우 비싸거나 사용하기에 까다롭다.

라이스코트 회사는 로펌의 권고를 따르겠다고 발표했다. 또한 탑승기록 중앙 데이터베이스에 접근할 수 있는 고용인수를 축소하고 개인정보처리에 대해 서면 동의를 보장하는 등 좀더 작은 쟁점에 대해서도 권고가 적용될 것이다.