[단독] 2년 뭉개다..법무부, '식별추적 사업' 개인정보 영향평가 받는다

천호성 2021. 11. 24. 18:06
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
법무부, 2년 7개월만에 영향평가 의뢰
공공기관에 '의무'이지만 사업 종료 1년 앞두고 받아
과기부·개보위도 점검 나서
"지자체 인공지능 사업들도 전수조사 필요" 주장도

인천국제공항 제2터미널의 자동출입국심사대. 법무부는 내·외국인 입국자 1억7000만명 이상의 사진을 인공지능 학습용으로 활용해왔다. 사진공동취재단

인천국제공항 제2터미널의 자동출입국심사대. 법무부는 내·외국인 입국자 1억7000만명 이상의 사진을 인공지능 학습용으로 활용해왔다. 사진공동취재단

1억건 이상의 내·외국인 얼굴영상을 본인 동의 없이 활용한 ‘인공지능 식별·추적시스템’ 구축 사업에 대해 법무부가 사업 시작 2년 7개월만에 ‘개인정보 영향평가’를 받는다. 과학기술정보통신부도 인공지능 사업들의 개인정보 관리실태를 전수조사에 나선다. 안면정보 등 개인정보 활용 사업에 대한 논란이 일자 관련 부처들이 뒤늦게 후속조처에 나선 모양새다.

2년 7개월만에 ‘개인정보 영향평가’

24일 조달청 국가종합전자조달시스템(나라장터)을 보면, 과기부 산하 정보통신산업진흥원(진흥원)은 지난 18일 민간 전문업체와 용역 계약을 맺고 인공지능 식별·추적시스템 사업에 대한 개인정보 영향평가를 의뢰했다. 사업 주관 기관인 법무부 요청으로 사업비 집행기관인 진흥원이 영향평가를 계약했다. 평가 기간은 계약일로부터 30일 동안이다.

개인정보 영향평가는 개인정보 활용 시 정보주체의 개인정보를 침해할만한 요인들을 분석하는 제도다. 평가를 받는 기관은 개인정보위가 지정한 외부 기관에 평가를 의뢰하고 평가 결과를 개인정보위에 제출해야 한다. 개인정보 보호법 등은 공공기관이 △100만명 이상의 개인정보 파일이나 △5만명 이상의 얼굴 등 민감정보가 들어간 개인정보 파일을 구축·운영·변경할 경우 의무적으로 이 평가를 받도록 한다.

개인정보위는 영향평가와 별개로 이 사업의 개인정보 보호법 위반 소지를 들여다보고 있다. 입국자 신원확인 목적으로 수집된 얼굴 사진 등을 식별·추적시스템 개발 등에 사용한 것이 적법한지 등을 중점적으로 살펴보는 중이다. 위법성이 확인되면 개인정보위는 조사국을 통해 본격 조사에 나서게 된다. 뒤늦은 개인정보 영향평가와 개보위의 검토는 해당 사업이 개인정보 침해 가능성이 있다는 <한겨레> 보도 이후 논란이 확산된 데 따른 것이다.

과기부도 이 사업을 비롯한 인공지능 개발사업들의 개인정보 유출 여부를 지난달부터 점검 중이다. 대구 수성구가 과기부 예산으로 추진하는 사업에서 민간업체가 연구용 폐회로티브이(CCTV) 영상 10만여건을 무단 유출한 사실이 이 과정에서 적발된 사실이 <한겨레> 보도로 드러난 바 있다.

사업 다 끝나가는데 실효성 있나?

법무부 등의 이런 조처는 ‘때를 놓쳤다’는 평가를 피하기 어렵다. 법무부가 영향평가에 나선 것은 지난 2019년 4월 과기부와 양해각서(MOU)를 맺고 이 사업을 시작한지 2년 7개월만이다. 이미 법무부가 최소 1억7000만건의 얼굴사진·지문·출입국기록 등 개인정보를 민간에 이전했다는 얘기다. 지난해부터는 인천국제공항 출입국장에 CCTV를 추가 설치해 행인들의 얼굴영상도 수집해왔다. <한겨레>는 그동안 영향평가를 받지 않은 이유 등을 법무부에 서면 질의했지만, 법무부 쪽은 “장관의 해외출장 귀국 이후 내부 검토를 거쳐 답변하겠다”고만 말해왔다.

영향평가 실효성도 의구심이 인다. 현행법은 개인정보위가 “제출받은 영향평가 결과에 대해 의견을 제시할 수 있다”고만 규정할 뿐, 사업 중단이나 방식 변경 등을 강제할 권한은 개인정보위에 주지 않고 있어서다. 개인정보위 관계자는 <한겨레>와 한 통화에서 “피평가 기관은 개선이 필요한 사항에 대해 이행계획을 만들어 개인정보위에 낸다. 이행계획이 불충분하면 개인정보위가 재차 개선권고를 한다”면서도 “이행계획을 내지 않거나 계획을 이행하지 않는 행위에 대한 제재 권한은 없다”고 말했다.

개인정보 점검의 ‘사각지대’에 놓인 인공지능 개발사업들이 여전히 많다는 지적도 있다. 과기부 내부에서도 염려스러운 목소리가 나온다. 이름을 밝히길 꺼린 과기부의 한 간부는 “개별 지방자치단체나 기업은 (개인정보 문제가 생겨도) 정부 부처 만큼 전문가 자문 등을 받아 후속조처에 나서기가 어렵다. 지금처럼 개인정보 보호에 대한 충분한 고려 없이 사업들을 진행하다 보면 대형 사고가 날 수 있다”고 말했다.

이에 생체정보 활용 인공지능 사업에 대한 전수조사가 필요하다는 목소리가 나온다. 민주사회를 위한 변호사모임(민변) 디지털정보위원회 소속 서채완 변호사는 “법무부에 이어 최근 수성구 사업의 얼굴영상 유출 등으로 (알고리즘 학습 과정의) 개인정보 침해 문제가 현실로 드러나고 있다. 개인정보위가 사안의 심각성을 인식했다면 전수조사 등을 기획해 실행에 나서야 한다”고 말했다. 이어 “개인정보위가 개인정보 영향평가의 개선사항 이행을 강제할 수 있도록 하고 영향평가 결과를 공개토록하는 등의 제도 개선도 시급하다”고 그는 덧붙였다.

천호성 기자 rieux@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?
한겨레에서 직접 확인하세요. 해당 언론사로 이동합니다.