[고발취재] 지자체 공시송달제도, 개인정보 유출에 무방비

[월간중앙]

이름, 생년월일, 차량번호, 주소 등 과태료 부과 개인정보, 기한 지나서도 다운로드 가능… 일부 공공기관의 사이트가 개인정보 유출 ‘사각지대’로 떠올라

개인정보 유출은 어제오늘의 일이 아니다. 정보통신기술이 발달하면서 온라인을 떠도는 개인정보가 얼마나 될지 그 규모를 추정하기조차 어렵다. 개인정보가 새나가는 틈새는 나날이 커지는데 법과 제도는 그 틈을 메우지 못한다. <월간중앙>이 공공기관의 개인정보 유출 실태에 돋보기를 들이대보았다. 규정도, 공직자의 의식수준도 낙제점이다.

지난 6월 최윤형(남·20대·가명) 씨는 구글 검색기를 돌리다가 황당한 경험을 했다. 인터넷에 올라 있는 한 문서에 자신의 이름과 개인정보가 담겨있는 걸 확인했기 때문이다. 문서에는 자신의 이름뿐만 아니라 생년월일, 차량번호, 동 호수가 적힌 집 주소까지 나와 있었다. 자신의 경우처럼 내밀한 개인정보가 노출된 사람이 3690명이나 됐다. 문서의 출처는 경기도 시흥시청이다.

당장 시청에 민원을 제기했다. 시흥시는 해당 문서를 삭제하고 그에게 사과문을 보냈다. “먼저, 개인정보 관련하여 불편을 드려 죄송하다는 말씀을 전합니다. 귀하께서 제보하신 자료는 시흥시에서 도로교통법 제32조 내지 제34조의 규정을 위반하여 주·정차 위반과태료부과 고지서 중 반송된 송달 불능 분에 대하여 행정절차법 제14조 4항(공시송달)의 규정에 의거 공시송달 의뢰한 자료입니다. 공고기간 만료로 인하여 시 홈페이지에 삭제처리 되었음을 알려드립니다. 다시 한 번 귀하에게 불편을 끼친 점에 대하여 송구스럽게 생각합니다.”

민원 제기 이후로는 시흥시 홈페이지에서 문제의 공시송달 문건이 삭제됐다. 하지만 그게 끝이 아니었다. 구글 검색에는 해당 문서가 여전히 나타나고 있었기 때문이다. 이에 다시 항의했더니 시흥시는 “해당파일은 시 홈페이지에서 삭제되더라도 검색결과에 나올 수 있다”며 “검색에서도 제외되길 원하면 구글 고객센터에 문의해 삭제요청을 해야 한다”고 안내해 줄뿐이었다. 최씨는 “내 개인 정보가 인터넷에 떠다니는지 일일이 확인하면서 구글에 직접 삭제요청을 해야 하는 것이 말이 되느냐”며 분통을 터뜨렸다.

수신인 없는데 지자체는 ‘공시송달’ 고집

지난해 불법 주·정차로 관련기관에 ‘딱지를 뗀’ 국민은 2만 2297명. 음주, 무면허, 속도, 신호위반 등 교통법규를 위반한 사람은 1102만3868명에 이른다. 교통단속이 강화되면서 위반자 수도 급증했지만, 이들 중 절반 가까이는 과태료 고지서를 받지 못해 체납이 되기도 한다.

2012년 서울시의 한 기초자치단체의 경우, 수취인 부재로 자동차 과태료 고지서가 당사자에 전달되지 않은 건이 54.4%에 달하는 것으로 조사됐다. 이사를 떠나 부재 중이었거나, 반송이 안 될 경우 우편 고지서는 일괄해서 인터넷 홈페이지에 공개 게시된다. 차량 주인에게 고지서를 보내는 것과 동일한 효과를 갖는 ‘공시송달’에 해당한다. 공개범위와 기간은 법령과 지침을 통해 정해져 있다. 하지만 지자체마다 공개되는 정보와 기간이 제각각이다. 이름과 차량번호, 집 주소, 생년월일 등 개인정보가 포함된 공시송달 파일은 구글에서 너무나 쉽게 검색이 가능하다.

구글에 ‘반송불능, 보관중, 폐문부재, 수취인부재, 이사불명’ 등의 키워드를 넣어봤더니 개인정보가 들어있는 엑셀파일들이 무더기로 쏟아져 나왔다. 차량번호, 집 주소, 생년월일 등이 포함된 개인정보다. 간혹 차종과 위반 일시와 장소까지 기재돼 있기도 하다. 이들 파일의 게시자는 모두 각 시·군·구청들이다.

공시송달은 공공기관이나 지자체가 고지서 등과 같은 서류를 수령자가 거주지에 부재중이거나 주소가 확실하지 않아 전달하지 못했을 때 관행적으로 외부 게시판이나 홈페이지 등에 일괄 게재하는 것을 말한다. 시청과 구청 등 관공서 입구 옆에 설치된 게시판에서 쉽게 찾아볼 수 있다. 인터넷이 발달하면서 이제는 온라인을 통해서도 공시송달 절차가 가능해졌다. 행정절차법 14조 4항에 따르면 ‘송달 받을 자가 알기 쉽도록 관보, 공보, 게시판, 일간신문 중 하나 이상에 공고하고 인터넷에도 공고’할 수 있다.

지자체들은 자체 홈페이지 공시공고 게시판을 통해 문서를 첨부하는 형식으로 게재한다. 과태료, 재산세와 같은 고지서를 직접 전달하지 못했다는 것을 일정기간 공시하면 서류를 전달한 것과 같은 효과를 거둔다. 법무법인 민후의 김경환 대표 변호사는 “과태료 고지서가 반송되거나 수취인 불명일 경우 게시판에 차량 소유주가 확인할 수 있도록 공고를 한다”며 “공시송달은 과태료 부과대상자가 나중에 몰라서 못 냈다는 명분에 대한 대응책”이라고 설명했다.

공시송달은 지자체가 민원인을 향해 한마디로 ‘난 최선을 다해 알렸으니 이후 모든 책임은 당신 몫’이라고 선언하는 것과 같다. 공시송달 제도의 본질은 과태료와 재산세 등의 환수에 목적을 뒀지만 실제 효과는 미미한 것으로 나타났다. 강제징수와 압류 등 강제적인 행정집행절차를 하기 위한 명분축적용일 뿐이다. 수원시 팔달구청의 관계자는 “공시송달로 과태료를 수금하는 건 거의 효과가 없다고 보면 된다”며 “체납 처리된 과금 고지서들은 나중에 차량 주가 폐차시점에 납부 조회와 검색을 통해 아는 경우가 더 많다”고 말했다.

개인정보 공개 범위·시기 규정 안 지켜져

공시송달을 유지하는 것은 고지서 송부를 과거의 우편 통지 방식에 의존하고 있기 때문이다. 현행 민원사무처리는 문서 통지를 원칙으로 하고 있다. 하지만 1인 가구와 맞벌이 가구가 늘면서 문서 수취가 제대로 이뤄지는 경우는 많지 않다. 그래서 인터넷을 활용한 전자문서도 공식 행정문서로 인정하고 있다. 인터넷 공시송달은 이런 원칙에서 기인하는 것이다. 국민권익위원회(이하 권익위) 관계자는 “일반우편의 경우 우편물 배달사고가 나면 당사자 수령 여부 확인이 불가능하고, 등기우편은 주소불명과 수취인 부재로 상당부분 반송돼 최종적으로 공시송달로 갈음처리하는 경우가 많다”고 전했다. 당사자에 고지가 되지 않는 경우 일괄처리를 하는 것이 관행적으로 이뤄지다 보니 공시송달이라는 제도를 꾸준히 이어오고 있는 것이다.

문제는 인터넷에서 검색되는 문서의 개인정보 공개범위와 공개 시기다. 개인정보를 있는 그대로 노출하는 문서가 허다하기 때문이다. 행정안전부(현 행자부)가 2012년 2월에 발간한 <개인정보보호법 상담사례집>에 따르면, 개인정보란 ‘살아있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보’를 말한다. 다른 정보와 쉽게 결합해 알아볼 수 있는 것은 모두 개인정보에 포함된다. 시·군·구에서 자동차과태료를 공시송달할 때 기재하는 ‘이름+주민등록번호 앞자리+차량번호’도 행자부 지침에 따르면 개인정보에 해당한다.

개인정보의 공개 범위는 법으로 정해져 있다. 공시송달의 개인정보 공개 근거는 형사소송법 제447조, 국세기본법 제11조에 근거를 두고 있다. 이 법에 따르면 공시송달 공고의 경우, 해당 법령에 규정돼 공개토록 한 항목은 공개 가능하나 공개범위가 정해져 있지 않는 경우에는 최소한의 범위에서만 공개해야 한다. 이에 따라 개인정보 공개를 최소화하고 있는 수원시 팔달구의 경우 이름과 주소, 차량번호의 일부를 가려 전체 정보가 노출되지 않도록 보호장치를 두고 있다.

공시 기간도 제한적이다. 문서 공시 기간은 보통 15일 정도로 정해져 있다. 민사소송법 제196조 1항은 ‘공시송달의 효력발생시기’에 대해 최초로 실시한 공시송달의 경우에는 그 사유를 게시한 날로부터 2주를 경과하면 효력이 생기고 동일당사자에 대한 그 이후의 송달은 게시한 다음날 그 효력이 생긴다고 정하고 있다. 최초 효력이 발생하려면 14일이 지나야 하고, 이후 재공시의 효력 발생일이 1일이므로 최소 15일 이상 공시를 해야 한다는 뜻이다. 달리 말하자면 15일간 게재해 법적 효력이 갖춰지면 개인정보 보호를 위해 해당 공시 내용을 지체 없이 내려야 한다는 말이기도 하다.

하지만 공시 기간이 지나도 해당 지자체 홈페이지에는 해당 정보의 삭제는커녕 다운로드까지 가능한 첨부파일이 버젓이 남아있는 경우가 허다하다. 더 황당한 것은 관공서 홈페이지에 공개하지 않더라도 구글 검색을 통하면 이들 정보에 접근할 수 있다는 점이다. 기자가 직접 검색해 찾아낸 공시송달 자료들 중에는 7년 전인 2008년에 작성된 자료도 상당수 포함돼 있다. 검색된 자료들은 해당 기관에서 짧게는 몇 개월에서 몇 년간 그대로 방치해놓고 있는 것이다.

주소, 이름, 차량번호 온라인 사냥꾼의 표적

2013년도 불법 주·정차 위반 공시송달 문건을 여전히 게재하고 있는 서울의 B구청에 확인을 요구하자 담당자는 “(홈페이지에) 올리는 것만 담당해서 공지 이후 삭제에 대해서는 잘 모르겠다”고 황당한 답변을 했다. 경기지역의 한 지자체의 공무원은 “예전에는 공시기간 설정을 해놓으면 지나고 바로 자동삭제가 됐는데 요즘은 삭제하지 않고 있다”고 답했다. 왜 그럴까? “삭제를 하지 않아도 개인정보가 노출되지 않는 선에서는 문제가 없기 때문”이라는 게 이유다. 법무법인 민후의 김경환 대표 변호사는 “공시송달의 경우 마음만 먹으면 공시된 정보를 범죄에 악용할 수 있기 때문에 일정한 기간 내 목적 달성을 위한 통상적인 기간이 지나면 개인정보는 삭제해야 한다”고 말했다.

가장 우려가 되는 부분은 공시송달 과정에서 비롯되는 민감한 개인정보 노출이다. 이는 온라인 개인정보 사냥꾼(수집자)들의 표적이 되기 쉽다. 공개된 개인정보를 악용한 해킹, 보이스 피싱 등 2차 피해에 노출되는 것이다. 인터넷 개인정보 사냥꾼들에게 집주소와 차량번호 등은 더 자세한 개인정보를 찾아내는 훌륭한 미끼가 된다. 익명을 요구한 한 개인정보 보호 전문가는 “공시송달 대상자는 체납이나 주소 불명 등 행정기관의 추적을 기피하거나 개인적으로 빈틈이 많은 사람일 가능성이 높기 때문에 개인정보를 악용해도 주의를 소홀히 해 사냥꾼들의 표적이 되기 쉽상”이라고 말했다. 법무법인 민후의 김경환 변호사는 “현재 주민번호 사용을 금지하고 있어 생년월일을 기재하지만 이름과 주소, 생년월일, 차량 번호만으로도 얼마든지 명의를 도용한 범죄에 활용할 수 있다”며 “구글링(구글에서 정보를 검색하는 작업)으로 조합하기는 매우 쉽기 때문에 공시송달 사이트에서 올라간 정보가 다른 사이트에 연계되지 않도록 신경을 써야한다”고 덧붙였다. 예컨대 개인 차량번호를 이용해 보험개발원에 소정의 수수료를 내고 조회를 하면 과거 사고내역 등 정보를 알 수 있는 식이다.

피해사례가 있다고 해도 유출원인을 모두 파악하기가 어렵다. 지자체에 직접적인 책임을 물을 수도 없는 노릇이다. 공시송달 문서를 게재한 지역 시·군·구청 담당자들은 책임을 회피한다. 홈페이지에 성별과 생년월일, 주소, 과태료 부과 명세를 그대로 게재한 수도권의 몇몇 시·구청 관계자에게 직접 공시송달 정보의 범죄 노출 가능성과 대책을 물어보았다. 그들은 한결같이 “개인정보공개에 대한 명확한 규정이 없다”, “거기까지는 잘 모르겠다”, “담당이 아니다” 등의 무책임한 답변을 늘어놓았다. 과거의 공시송달 정보를 여전히 노출하고 있는 전라남도의 한 군청 관계자는 “온 지 얼마 안 돼서 이미 올려진 공지에 대해서는 잘 모르겠다”며 전임자에게 책임을 떠넘기기도 했다. 지난 5월 행자부 개인정보보호과에는 “공시송달이라도 이름 전부를 포함해 주민번호, 주소 등 개인정보가 공개되어 있다면 문제가 될 수 있다”며 “본인확인에 있어 최소수집 원칙에 합당한지 우선 위법성 여부를 확인해서 점검 또는 단속에 나서고, 관련 기관에 통보할 예정”이라고 밝혔다.

하지만 여전히 구글에서는 주워담기 어려울 만큼 수많은 개인정보가 떠다닌다. 구글에서 불법 주·정차 과태료 고지에 관한 공시송달 검색결과를 찾아 보니 2만800여 개의 검색 결과가 나타났다. 한 문건 당 유출되는 인원 수만 해도 수백 명에 이른다. 인천의 한 구청은 2013년 8월 불법 주·정차 위반과태료 사전통지서 공시송달 내역 문서로 664명의 개인정보를 노출했다. 경상북도에서도 과태료 처분 명세를 공시하면서 주소지 아파트의 동과 호수까지 적힌 380명의 개인정보를 노출했다. 전라북도의 한 시청은 무단방치 차량 자진처리명령을 공시송달하면서 296명의 차량 소유자 이름과 생년월일, 주소, 차종, 차량번호를 방치하고 있었다. 쉽게 검색되는 이들 자료는 엑셀 파일로 저장돼 있어 곧바로 다운로드가 가능하다.

개인정보 보호는 공무원의 의무사항이다. 개인정보 보호법 제 28조에 따라 공공기관과 민간기업은 개인정보 취급자에게 정기적으로 필요한 교육을 의무로 규정하고 있다. 행자부는 각 기관(기업)을 대상으로 개인정보보호 사이버교육을 운영하고 있다. 교육은 사내(자체)교육, 사이버교육, 위탁교육, 외부강사 초빙 교육 등으로 다양하다. 수원시 팔달구청 경제교통과의 한 관계자는 “개인정보보호수칙에 관한 공문이 부서에 발송된다”며 “개인정보 공개범위나 시기 등 규정이 정해져 있어 그 매뉴얼을 따른다”고 말했다.

지자체 간 개인정보에 대한 통합관리가 되지 않는 것도 문제다. 중요한 개인정보 관리가 기관별로 분리돼있어 한곳이 정보보호를 소홀히 하면 나머지 기관의 보호 노력은 헛수고가 되고 말기 때문이다. 가장 효과적인 건 휴대전화 문자메시지 등을 이용해 개인에게 직접 공시송달 내용을 전달하는 건데 기관마다 전화번호 등을 개별적으로 수집·관리(DB구축)하는 과정에서 들어가는 비용이 만만치 않다.

최근 5년간 개인정보 유출 9천만 건 이상

그동안 개인정보 노출의 심각성은 꾸준히 제기돼왔다. 지난 9월 10일 국회 미래창조과학방송통신위원회 소속 우상호 새정연 의원이 방송통신위원회가 제출한 자료를 분석한 결과, 최근 5년간 유출된 개인정보 건수가 9천만 건이 넘는다는 조사결과가 나왔다. 2011년 7월부터 올해 7월까지 개인정보 누출사고만 107건이 발생했고, 확인된 개인정보 유출 건수만 9218만 건에 달했다. 국민 1인당 두 번에 가까운 개인정보 유출사고가 있었던 셈이다.

개인정보 유출 원인으로는 해킹이 전체의 49.5%를 차지한다. 원인이 확인되지 않은 사고가 36.4%로 그 뒤를 따랐고, 그 밖에 시스템 오류, 퇴사직원 고의 유출, 악성코드 감염, 사기에 의한 개인정보 열람 등이 주요 원인으로 꼽혔다. 우 의원은 “유출사고가 발생하더라도 부과되는 과징금이나 과태료 규모가 크지 않아 실효성 있는 제재가 되지 못하고 있다”고 말했다.

지난해에도 안전행정위 국정감사에서는 당시 안전행정부(현 행정자치부)가 2011년부터 2014년까지 공공기관 및 비영리단체, 협회 등을 대상으로 개인정보 노출실태를 점검해 총 17만 건의 개인정보 노출 사실을 적발해냈다. 지자체의 개인주소와 주민등록번호, 법규위반내용 및 과태료 부과 내역까지 노출됐다. 개인정보 유출 건은 무더기로 쏟아졌다. 인터넷 포털 사이트인 ‘다음(daum)’ 카페에 건설 교통부 안전진단 업체등록현황 250명의 주민등록번호 및 주소 등이 노출됐다.

또 주민번호가 그대로 입력된 여행자보험 가입자 88명이 노출되었고, 서울시 한 동사무소 전자공무원증 발급용 직원 사진과 주민번호가 버젓이 노출됐다. 정부부처 관리 또한 허술했다. 안전행정부가 운영 중인 국외출장연수정보시스템을 통해서도 개인주민등록번호와 휴대폰 번호가 그대로 노출됐다. 또 한국과학기술단체총연합회 국내 과학인들의 주민번호와 휴대폰번호, 이메일 주소뿐 아니라 재외 과학인들의 생년월일, 여권번호, 이메일, 성별 등 세부 개인정보까지 유출됐다. 안행부는 이때 노출된 개인정보에 대한 삭제율이 100%라고 대외적으로 밝힌 바 있다.

빠르게 변화하는 IT 기술에도 개인정보보호 관련 법·제도적 대응이 뒤처지면서 자칫 보호받아야 할 개인정보는 위험에 처했다. 공시송달이 이제 반송된 고지서를 독촉하는 명분이 아닌 효율적인 제도로 개선될 필요가 있다는 목소리가 커지고 있다. 권익위 관계자는 “고지서 우편송달은 해외거주자, 맞벌이부부, 1인 가구 등이 늘어난 현대와는 맞지 않는 방식”이라며 “국민우편송달 방식과 병행한 SMS, E-mail 등 IT기술을 활용한 고지방식의 병행이 절실하다”고 말했다. 개인정보보호 전문가는 “개인정보 공개 범위를 동일하게 설정해 지자체 기관들의 공동수칙을 수립하고 공개 후에는 삭제나 처리에 대한 철저한 강화가 필요하다”고 말했다.

“고양이에게 생선을 맡긴 기분이다.” 구글 사이트에 떠다니는 벌과금 공시송달 파일들을 본 네티즌들의 반응이다. 정보통신망이 활발해지면서 개인정보 보안을 위한 교육과 제도는 강화되고 있는데 개인정보는 몇 지자체의 허술한 보안 관리로 인터넷 사이트를 허망하게 떠다니고 있다. 개인정보 보안 수칙을 제대로 지키지 않는 기관의 정보기강해이도 문제지만, 과연 현대 과학의 발달의 속도에 발맞추지 못하는 공시송달제도가 충분히 제 기능을 발휘할 수는 있을까란 의문도 함께 따라온다.

글= 월간중앙 박지현 기자