중기부 개인정보 유출 사고에 ‘노출’ 표현…책임 축소 의도 지적

노용석 중소벤처기업부 제1차관이 22일 서울 종로구 정부서울청사에서 모두의 창업 개인정보 유출과 관련 사과하고 있다. 연합뉴스

중소벤처기업부가 '모두의 창업' 플랫폼 개인정보 유출 사고를 설명하는 과정에서 '유출' 대신 '노출'이라는 표현을 반복 사용해 논란이 일고 있다. 일각에서는 사고의 책임을 축소하려는 것 아니냐는 지적이 제기된다.

24일 정부 e브리핑 자료에 따르면 노용석 중기부 제1차관은 지난 22일 브리핑에서 "일부 정보가 노출됐다", "개인정보나 상세 도전신청서는 노출되지 않았다", "이메일과 아이디어 요약본, 심사평 등이 암호화된 형태로 노출됐다"는 표현을 사용했다.

이어진 질의응답에서도 "팀원 정보가 노출됐다는 제보가 있었다", "한 달 전에 노출된 것으로 나타난 정보가 있었다"고 설명하는 등 '노출'이라는 용어를 여러 차례 반복했다.

반면 같은 브리핑에서 "플랫폼 유출로 불편을 끼쳐드렸다", "합격자 정보 유출 관련 내용을 설명하겠다"는 등 일부에서는 '유출'이라는 표현도 사용했다. 다만 구체적인 사고 내용과 유출 범위를 설명할 때는 주로 '노출'이라는 단어를 선택했다.

이는 중기부가 지난 18일 피해자들에게 발송한 문자메시지와 개인정보보호위원회에 제출한 공식 유출신고서에서 '유출'이라는 표현을 사용한 것과 대비된다. 해당 신고서에는 유출 항목과 시기, 경위 등이 기재됐지만 '노출'이라는 표현은 포함되지 않았다.

개인정보보호법은 개인정보의 분실·도난·유출에 대한 대응 의무와 과징금, 손해배상 책임 등을 규정하고 있다. 반면 '노출'은 외부에 공개된 개인정보를 삭제하거나 차단하는 조치와 관련해 제한적으로 언급된다.

쿠팡이 처음 보낸 개인정보 노출 통지. 문자메시지 캡처

이 때문에 중기부가 이번 사고를 '노출'로 규정할 경우 법적·행정적 책임을 상대적으로 줄이려는 것 아니냐는 의혹이 제기되고 있다.

특히 정부가 최근 개인정보 보호 규제를 강화해 온 흐름과도 상반된다는 비판이 나온다.

개인정보보호위원회는 지난해 말 개인정보 유출 사고가 발생한 쿠팡에 대해 피해자 통지문에서 사용한 '노출' 표현을 '유출'로 수정하도록 요구했다. 이미 유출 사실이 확인됐는데도 '노출'이라고 표현해 이용자 혼란을 초래했다는 이유였다.

또 지난해 5월에는 SK텔레콤이 개인정보 탈취 사고를 고객에게 알리면서 '유출' 대신 '유출 가능성'이라고 표현한 데 대해서도 문제를 제기한 바 있다.

개인정보위는 쿠팡과 SK텔레콤에 각각 6247억 원, 1347억 원의 과징금을 부과했다.

권헌영 고려대 정보보호대학원 교수는 "노출된 정보가 비인가자나 제3자에게 실제로 넘어갔는지가 확인돼야 유출로 볼 수 있다"며 "중기부는 해킹이나 정보 탈취 여부가 아직 입증되지 않았다는 입장으로 해석할 수 있다"고 설명했다.

다만 그는 "일반적으로 유출보다 노출이 책임의 무게가 덜한 표현으로 받아들여진다"며 "이 같은 입장을 유지할 경우 실제 유출 여부를 규제기관이 입증해야 하는 상황이 될 수 있다"고 지적했다.

정재홍 기자 hongj@joongang.co.kr