[디지털데일리 이종현기자] 법무부가 자동출입국심사시스템을 고도화하기 위해 내·외국인의 얼굴 사진 등 1억7000만여건을 동의 없이 활용한 것에 대한 개인정보보호위원회(이하 개인정보위)의 판단이 나왔다.
27일 개인정보위는 법무부 인천공항 출입국·외국인청의 개인정보보호 법규 위반행위에 대해 심의한 결과, 과태료 100만원을 부과한다고 밝혔다.
해당 건은 법무부가 2019년부터 인공지능(AI) 식별추적 시스템 개발사업을 추진하면서 내국인 5760만건, 외국인 1억2000만건의 개인정보에 접근해 출입국 관리 고도화를 위한 AI 알고리즘을 학습시킨 것을 골자로 한다.
활용된 정보는 일방향 암호화를 수행한 여권번호, 국적, 생년, 성별, 얼굴사진 등이다.
개인정보위는 법무부가 사업 과정에서 별도 구축한 실증랩의 입출력 장치가 없는 단말기를 통해서만 민간 참여기업이 접근할 수 있도록 제한해 법무부 서버 외부로 얼굴사진 등 개인정보가 반출되지 않도록 조치한 것으로 파악했다.
현재까지 외부로 반출된 개인정보와 AI 알고리즘이 없는 것으로 확인했으며, 데이터베이스(DB)와 저장매체에 있는 AI 식별추적시스템 알고리즘 학습에 활용된 개인정보는 모두 삭제됐다.
개인정보위는 ▲AI 식별추적시스템 개발을 위해 활용한 얼굴정보가 민간정보에 해당하는가 ▲출입국 심사를 위한 AI 학습에 얼굴사진을 이용한 것이 목적범위내 이용인가 ▲개인정보처리 위탁에 해당하는가 ▲개인정보 처리위탁 사실을 공개하지 않은 것이 개인정보보호법 위반인가 등을 논의했다.
이 결과 개인정보위는 시스템 개발을 위한 민감정보 활용 및 위탁계약은 적법한 것으로 판단했다. 다만 시스템 개발을 위해 AI 업체와 위탁 계약을 한 위탁사실, 또 수탁자를 홈페이지에 공개하지 않은 것은 법 위반으로 판단, 과태료 100만원을 부과했다.
이와 관련 시민단체 관계자는 “개인정보위가 민감정보를 쓸 수 있도록, 사실상의 면죄부를 발급해준 것이나 마찬가지”라고 강도 높게 비판했다. 국민 감정을 도외시한 채 위법 여부만 따지는 것이 국가 개인정보 컨트롤타워답지 못하다는 주장이다.
개인정보위는 “면죄부는 절대 아니다”라고 항변했다. 또 올해부터는 공공기관을 대상으로 개인정보 영향평가를 실시하고, 개인정보를 활용하는 사업의 경우 사전진단 프로그램을 통해 개인정보가 오·남용되지 않도록 노력한다는 설명이다.
과태료가 지나치게 낮은 것 아니냐는 지적에는 “과태료는 법과 시행령의 기준에 따라 부과한다. 특히 국가기관에 과태료를 부과하는 것은 개인정보보호법상 명문의 규정이 있다”며 ‘봐주기 의혹’을 부인했다.
정혜원 개인정보위 조사총괄과장은 “민감정보를 처리하는 경우에 정보주체의 개인정보 자기결정권이 침해되지 않도록 개인정보보호 법령을 준수할 필요가 있다. 개인정보위는공공기관의 개인정보 처리실태에 대한 관리·감독 역할을 적극적으로 수행해 국민의 개인정보가 안전하게 보호될 수 있도록 노력하겠다”고 피력했다.
한편 개인정보위는 이날 개인정보보호 법규를 위반한 4개 사업자를 제재했다. 제재 대상은 야놀자, 제주항공, 안다르, 미래비젼교육 등이다. 이들 기업은 개인정보가 유출된 사실 및 영업 양도 등을 정보주체인 이용자에게 제대로 알리지 않았다.
야놀자는 해커의 협박 메일로 개인정보 유출을 인지, 개인정보 유출 신고를 했으나 정당한 사유 없이 법정 기한인 24시간을 초과해 이용자에게 유출을 통지했다. 또 제주항공은 시스템 업데이트 과정에서 담당자의 실수로 개인정보가 유출됐으나 개인정보 유출에 대한 신고와 통지를 하지 않았다.
4개 기업에 과태료는 야놀자 300만원, 제주항공 600만원, 안다르 1100만원, 미래비젼교육 300만원 등이 부과됐다.
윤정태 개인정보위 조사2과장은 “개인정보 처리자는 유출사고가 일어나면 유출 신고 및 이용자 통지 등을 성실하게 해야 한다”고 주문했다.