|
최우혁 과학기술정보통신부 정보보호네트워크정책관은 지난 19일 브리핑에서 “유심 정보 유출 규모는 9.82GB, IMSI 기준으로 총 2695만7749건에 달한다”고 밝혔다.
이와 관련해 일각에서는 가입자식별키(IMSI)2695만건이 유출됐다면 사실상 전국민 개인정보가 털린 것이라며 우려를 나타내고 있지만, IMSI 단독으로는 개인을 특정하기 어렵다는 점에서 법적 개인정보 해당 여부에 대해선 논란이 남아 있다.
결합의 용이성이 기준될듯
이성엽 고려대 기술법정책센터장은 “IMSI가 개인과 1:1로 매칭되는 번호라는 점에서 개인정보로 간주하려는 입장이 개인정보보호위원회를 중심으로 강하게 존재해왔다”며 “다만 단독으로는 식별 정보가 아니기 때문에 기술적·시간적·비용적으로 식별 가능성이 있는지를 함께 고려해야 한다”고 밝혔다. 일반인 입장에서 IMSI가 개인정보로 의미를 가지기 위해서는 휴대폰번호 등 다른 개인정보와 결합이 필요하다는 뜻이다.
이 교수는 “우리 법은 단독으로 식별이 안 되더라도 다른 정보와 용이하게 결합 가능하면 개인정보로 본다”며 “결국 그 ‘용이성’의 기준이 매우 주관적일 수밖에 없다”고 설명했다. 그는 차량의 차대번호(VIN)를 예로 들며 “차대번호도 한때 개인정보로 간주됐지만, 최근 개보위가 이를 비식별 정보로 재해석한 것으로 알고 있다”며 “차대번호가 특정 개인을 지칭하는 것은 아니지만, 소유자 정보와 결합할 경우 개인 식별이 가능하다는 논리 구조가 IMSI와 유사하다”고 부연했다.
하주영 스캐터랩 소속 변호사도 이와 관련해 “개인정보의 범위는 고정돼 있지 않고, 사회적 맥락이나 기술 수준, 데이터 결합 가능성에 따라 계속 달라지고 있다”며 “정부는 개인정보의 범위를 넓히려는 경향이 있지만, AI·데이터 혁신 관점에서는 오히려 범위를 좁혀야 한다는 주장이 힘을 얻고 있다”고 말했다.
실제 IMSI를 개인정보로 판단할 경우 통신사는 이를 활용할 때마다 고객의 동의를 받아야 하며 이는 AI 모델 학습이나 네트워크 분석 등 다양한 활용 분야에서 제약으로 작용할 수 있다.
하 변호사는 “전화번호 뒷자리 네 자리가 개인정보냐는 논란처럼, IMSI도 해석에 따라 달라지는 민감한 정보”라며 “법적 판단과 사회적 합의가 요구되는 시점”이라고 덧붙였다.
기술 진화 속 개인정보 개념 정립 잣대될 듯
이번 사건은 단순 해킹 사고를 넘어 기술 진화 속 개인정보의 개념이 어떻게 재정립되어야 하는지를 보여주는 사례가 될 전망이다. 개보위는 현재 IMSI 등 유심정보를 개인정보에 해당하는 것으로 보고 조사중이다.
IMSI가 개인정보가 아니라고 명확하게 볼 수도 없다는 의견도 제시됐다. 개인정보보호법학회 회장인 김도승 전북대 교수는 “차대번호와 달리 IMSI 같은 경우에 완전히 개인정보가 아니라고 단언하기가 쉽지 않기 때문에 개보위가 조사에 참여한 것”이라며 “IMSI가 다른 정보와 합쳐져서 개인식별을 완전히 배제할 수 없는한은 기본적으로 염두에 두고 바라봐야 한다”고 했다.
IMSI를 개인정보로 정의할 때와 그렇지 않을 경우 처벌의 수위가 크게 달라질 수 있다.
IMSI가 개인정보로 판단할 경우에는 개인정보보호법 제64조의2에 따라 전체 매출액의 3%까지 과징금으로 매길 수 있다.
반면 개인정보가 아닌 것으로 판단하면 정보통신망법상 기술적·관리적 보호조치 의무(제28조)를 위반한 것으로 보고 징계 수위가 낮아질 수 있다.
