배달앱이 일상이 된 시대, 편의를 위해 맡긴 '문 앞 주소'가 법원을 거쳐 합법적인 추적도구로 전용되고 있다. <블로터>는 사례를 통해 배달앱에 제공한 주소의 악용 가능성을 추적하고 입법 공백을 메울 대안을 제시한다.

민사 소송의 증거수집 절차인 '사실조회'가 타인의 실거주지를 파악하는 정밀 추적도구로 오남용되고 있다. 배달앱에 기록된 주소 정보는 단순 거주지를 넘어 이용자의 생활패턴까지 드러낼 수 있는 고가치 데이터지만 국내 사법체계의 개인정보 보호 수준은 이에 미치지 못한다는 평가가 나온다.

플랫폼에 수록된 상세주소가 제3자에게 노출될 수 있지만 법원의 심사는 절차적 검토에 머물러 실질적인 사생활 보호 기능이 충분히 작동하지 않는다는 지적이다. 범죄에 악용된 뒤에야 대응하는 ‘사후약방문’식 처벌에서 벗어나 비식별화와 정보제공 통보 의무화 등 글로벌 기준에 맞는 보안 가이드라인을 시급히 구축해야 한다는 목소리가 커지고 있다.

글로벌 기준 못 미치는 韓 데이터 관리

사실조회는 양육비 분쟁이나 채무이행 확인 등 정당한 권리행사를 지원하기 위한 제도다. 그러나 최근에는 이를 악용해 개인의 실거주지나 생활패턴을 파악하는 ‘합법적 추적수단’이 됐다는 우려가 커지고 있다.

문제는 국내 법원의 사실조회 심사가 데이터 보호 관점에서 지나치게 느슨하다는 점이다. 현행 민사소송규칙에는 법원이 신청의 필요성과 관련성을 심사하도록 규정돼 있지만 증거로서의 가치에 초점을 맞춘 ‘절차적 검토’에 머무르는 경우가 많다. 이러한 한계는 실제 판결에서도 확인된다. 2024년 수원지법 성남지원 사건에서 가해자는 잠적한 피해자의 소재지를 파악하기 위해 민사 소송 사실조회로 확보한 신규 거주지와 연락처를 보복협박에 활용했다.

국내 사법 시스템의 구조적 한계는 데이터 주체를 보호하기 위해 ‘실질적 검증 의무’를 명문화한 주요국의 제도와 대비된다. 핵심은 사법기관과 플랫폼이 정보 제공의 정당성과 프라이버시 침해 가능성을 사전에 얼마나 정교하게 검증하느냐다.

유럽연합(EU)의 개인정보보호법(GDPR) 체제에서는 법원 명령이 있다는 이유만으로 데이터를 제공할 수 없다. 정보제공자는 사전에 ‘호환성 평가’를 수행해야 한다. 데이터 수집 목적과 소송 목적 간의 연관성, 프라이버시 침해 가능성, 보호조치 등을 종합적으로 검토하는 절차다. 이를 위반할 경우 기업에는 연매출의 최대 4% 또는 2000만유로(약 34억원)의 과징금이 부과될 수 있는 강력한 책임구조가 마련돼 있다.

미국 캘리포니아주는 ‘보호명령’ 제도를 이용해 개인정보 노출을 통제한다. 민사 소송 과정에서 주소가 노출될 수 있는 위험이 확인되면 법원은 주소를 ‘동 단위’로 축소하거나 열람 권한을 변호사로 제한하는 등 ‘데이터 최소화 원칙’을 적용할 수 있다. 일본 역시 개인정보 보호 장치를 강화했다. 제3자 제공에 대한 ‘사전거부권(옵트아웃)’을 폭넓게 인정하고 사법절차에서도 실주소 대신 가명가공정보 활용을 권장해 정보주체의 권익침해를 최소화하는 구조다.

사후 처벌 한계…실질적 방어벽 세워야

물론 현행법에도 허위 소송이나 개인정보 무단취득에 대한 처벌 규정은 있다. 사법절차의 효율성을 위해 사실조회의 신속성도 요구된다. 김승주 고려대 정보보호대학원 교수가 “법원이 사실조회 단계에서 신청자의 잠재적 범죄 의도를 선제적으로 판단하기는 현실적으로 어려우며 악용 행위는 형사법으로 사후 처벌이 가능하다”고 진단한 것도 사법 시스템의 현실을 보여준다.

다만 현행 제도는 처벌 중심에 머물러 범죄를 사전에 차단하는 데 한계가 있다는 지적이 나온다. 실제로 수사기관의 피의자 신문을 앞두고 압수수색을 피하기 위해 휴대폰 분실 신고를 하는 등 사법절차를 교묘히 악용하는 사례도 이어지고 있다.

이에 이정은 국회입법조사처 입법조사관은 “대법원 규칙에 따라 자료 송부를 요구할 수 있지만 그 과정에서 개인정보를 보호할 실질적 장치가 부족한 것은 사실”이라며 “민사소송규칙 제76조의2에 개인정보 보호 내용을 명시하는 등 대법원 규칙 차원의 정비가 시급하다”고 지적했다. 사법절차의 특수성을 고려하더라도 개인정보 보호 장치를 제도적으로 보완할 필요가 있다는 취지다.

실무적 대안으로는 ‘정보주체 통지 의무화’가 우선 꼽힌다. 현행 구조에서는 정보가 상대방에게 제공된 뒤 피고가 소송 기록을 직접 열람하기 전까지 유출 사실을 인지하기 어렵기 때문이다. 이에 금융·통신 분야처럼 이를 시스템화해 정보주체의 알 권리를 보장해야 한다는 지적이 제기된다. 김 교수는 “통신사 등에서는 개인정보 활용 내역을 자동 통보하거나 이용자가 확인할 수 있는 시스템이 이미 운영되고 있다”고 말해 사법절차에도 유사한 장치가 필요하다는 점을 시사했다.

아울러 데이터 최소화 원칙의 단계적 도입과 비식별화 조치, 피해자가 자신의 정보를 사전에 비공개할 수 있는 보안장치 마련 등도 대안으로 제시된다. 예컨대 소송 초기 단계에서는 ‘동 단위’ 정보만 우선 제공하고 재판 과정에서 상세 주소가 반드시 필요한 경우에만 법원의 추가 심사를 거치도록 절차를 세분화하는 방식이다. 유사한 취지의 조치는 이미 다른 분야에서도 도입된 바 있다. 앞서 개인정보보호위원회는 배달 플랫폼의 데이터 파기 및 분리보관 미흡을 지적하며 배달 완료 이후 고객 주소와 전화번호를 24시간 내 가림처리(마스킹)하도록 권고했다.

배달앱 데이터의 높은 정보가치에 걸맞은 플랫폼의 책임 있는 관리도 과제로 떠오르고 있다. 박기웅 세종대 정보보호학과 교수는 “플랫폼이 약관이나 동의절차에만 의존해 책임을 피하려 하기보다는 공격자에게 ‘보물창고’와 같은 데이터의 특성을 고려해 보안정책과 기술투자를 강화해야 한다”고 강조했다. 이어 “편의성과 보안성을 함께 고려하면서 이용자가 자신의 정보활용을 인지하고 관리할 수 있도록 하는 정책적 고민이 필요하다”고 덧붙였다.

이유리, 이진솔 기자