[팩트체크]이통사 위치정보, 몰래 보관하고 함부로 활용하나

[이데일리 김현아 기자]이동통신 회사들이 고객 동의를 받지 않고 위치정보를 몰래 보관하고 함부로 빅데이터 사업에 활용한다는 논란에 휩싸였다.

<한겨레>가 이통3사가 ①가입자 사전 고지나 동의 없이 ②기지국 접속기록을 삭제하지 않고 3개월까지 보관하며 ③따로 데이터베이스(DB)화 해서 3개월 보관한 것은 빅데이터 사업에 활용하려는 의도라고 보도했기 때문이다.

이통사들은 기지국 접속기록을 이동통신 요금 오과금 민원에 대응하거나 분실폰 찾기 서비스 등에 활용해 왔다. 그러다 2015년 메르스 사태이후 코로나19 사태에서도 보건 당국이 감염 의심자 색출에 활용하고 있다. 특히 올해 초 개정된 감염병관리법에서는 위치정보 요청권자에 보건복지부 장관뿐 아니라 시·도지사 및 시장·군수·구청장을 추가했고, 보건의료기관에도 감염병 의심자의 이동경로 정보(위치정보)를 제공토록 해 개인 위치정보의 활용 범위가 넓어진 터라, 기지국 접속기록 같은 위치정보가 이통사에서 어떻게 수집되고 관리되는지가 훨씬 중요해졌다.

▲이통3사 로고

위치정보 약관 통해 동의받고 보관..더 친절한 설명 필요

결론부터 말하자면 이통3사는 ‘무선 신청서’와 ‘위치기반서비스 및 위치정보 이용약관’을 통해 가입자 동의를 받고 3개월(LG유플러스는 6개월) 보관하고 있다. 즉, 적어도 몰래 보관한 것은 아니라는 의미다.

다만, 방역 당국에 제공되는 기지국 접속기록의 프라이버시 침해 가능성을 고려했을 때 이동통신 서비스 가입 시 아무 생각 없이 동의하게 되는 복잡한 약관을 더 친절하게 설명할 필요는 있다는 지적이다. 최경진 가천대 법학과 교수(개인정보전문가협회 회장)는 “4G 이후 기지국이 더 촘촘하게 박혀 기지국 접속정보만으로 개인의 위치가 매우 정확하게 드러난다”며 “약관에 고지돼 있고 동의받았더라도 이용자·소비자 법리에 따르면 단순한 고지가 아니라 설명을 해주는 게 맞다”고 말했다. 중요 항목으로 눈에 띄게 표시하는 걸 고려해야 한다는 의미다.

이통사 관계자는 “(복지부 장관 등이 경찰에 요청해)경찰에 기지국 접속기록을 제공할 때 이미 구축된 데이터베이스(DB)를 제공하는 게 아니라 기지국 위치정보 로우데이터에서 입력 값(이태원 등 특정위치, 시간)을 넣어 뽑아 제공한다”며 “위치정보법에따라 적법하게 하고 있다”고 말했다.

따로 보관한 이유, 메르스 사태와 엮기는 무리

<한겨레>는 익명의 이통사 임원 멘트를 인용해 이통사들이 2015년 메르스 사태를 계기로 보건 당국에 빨리 제공하기 위해 따로 데이터베이스(DB)를 만들었다고 보도했다.

정말 그랬을까. 하지만, 2015년 6월 국무조정실 등과 해당 업무를 진행한 방송통신위원회 관계자는 “그런 기억은 없다”며 “당시 이슈는 감염병예방법에 메르스 격리 대상자 동선 파악을 위한 휴대폰 위치추적 근거가 없어 위치정보법과 개인정보보호법 등의 조항을 활용하는 문제였다”고 말했다. 당시 보건복지부 위치관리팀에 협조했던 이통사 임원도 “(기지국 접속기록을) 빨리 제공하는 게 아니라 고객에게 연락해 위치정보 제공을 동의받는 게 이슈였다”며 “법적 근거 확보를 위해 총리실 공문을 받았고 다행히 당시 치사율이 높던 메르스 확진자와 동선이 겹치는 분들에게 알렸더니 항의하는 분들이 한 명도 없었다”고 말했다.

실제로 보건복지부가 펴낸 ‘2015 메르스 백서’에는 당시 기지국 접속기록 활용을 위해 위치정보법의 개인동의 활용, 개인정보보호법의 예외조항을 활용했다고 명시돼 있고, 같은 해 감염병예방법을 개정해 감염 의심자 등에 대한 개인정보 수집 근거가 마련됐다는 사실을 알 수 있다.

▲‘2015 메르스 백서’ 중 일부(출처:보건복지부)

3개월 보관은 2005년부터 있었던 일..빅데이터 활용 시 비식별화지켰다면 문제 없어

그렇다면 이통사들이 기지국 접속기록 등 위치정보를 3개월(LG유플러스는 6개월) 보관한 것은 빅데이터 활용을 위해서였을까.

익명의 이통사 임원은 <한겨레>에 메르스 사태를 계기로 기지국 접속기록의 DB를 따로 보관한 뒤 빅데이터 사업에 눈뜨면서 보관 기간도 3개월로 늘렸다고 언급했다. 빅데이터 사업에 기지국 접속기록을 활용하면서 별도 고지와 동의를 받지 않은 것도 문제라고 주장했다.

그러나 IT 전문가들은 데이터를 통합 보관했느냐, 따로 보관했느냐는 중요하지 않고, 개인정보는 분산 보관이 원칙이라고 설명했다.

이통사에서 데이터 관련 업무를 하다 현재 스타트업을 창업한 전직 임원은 이데일리와의 통화에서 “위치정보법에 위치정보를 따로 보관하라거나 그러지 말라는 조항이 별도로 없다면 따로 보관은 문제가 아니다”라며 “당시 개발자들이 위치정보에 접근할 때, 별도 사내 개인정보관리팀의 관리를 받고 물리적 보안에다 접속기록까지 저장되는 등 까다롭게 운영됐다”고 말했다. 최 교수 역시 “위치정보 같은 개인정보는 오히려 잘게 쪼개 따로 보관하는게 원칙에 맞다”고 했다.

이통사들이 기지국 접속기록을 3개월(LG유플러스는 6개월)간 보관하기 시작한 시점도 익명 임원 멘트와 맞지 않는다.

이데일리 확인 결과 SK텔레콤 약관에 위치정보 보관기간이 3개월로 정해진 것은 2005년 10월 28일이고, LG유플러스는 2007년 2월 20일이었다. 즉, 메르스 사태(2015년)이후 빅데이터 사업에 눈뜨면서 접속기록 보관기간을 늘린 건 아니다.

통신사의 위치정보 빅데이터 활용은 어찌봐야 할까. 약관에 따라 위치정보를 3개월 또는 6개월이후 파기하고 비식별화했느냐가 핵심이다. 최경진 가천대 법학과 교수(개인정보전문가협회 회장)는 “기지국 접속기록을 (약관에 따라)3개월 또는 6개월 이후 파기하고 비식별화해 활용해 통계자료에 불과하다면 별도 동의가 필요없다”고 말했다. 이통사들도 “기지국 접속기록 등 개인정보활용은 가입신청서를 쓸 때 개인정보활용 동의서를 받고 있고, 위치정보약관에 따라 저장기관이 끝나면 파기하고 비식별화해 제공해 문제없다”고 밝혔다. 위치정보의 민감성을 고려했을 때 의심할 순 있지만, 비식별화하지 않고 활용했다는 증거가 없다면 ‘함부로 활용하고 있다’고 주장할 근거는 없는 것이다.