![호수에 차 놓고 사라진 건설사 대표…전북 정·재계 뒤집혔다 [사건추적]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/23/df7d6025-7503-46ff-95c7-aa068e21a72b.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
3일 오후 서울 종로구 음식점에서 한 미접종 시민이 QR 체크인을 하고 있다. 연합뉴스
“종이 증명서를 매번 가지고 다닐 수가 없으니 QR코드를 찍고 있긴 한데 불안하긴 하죠. 어떤 정보를 수집하고, 어떻게 사용하고 있다는 설명이 전혀 없잖아요.” (직장인 김모씨ㆍ31)
3일 식당과 카페에 이어 대형마트와 백화점에 방역패스(접종증명ㆍ음성확인제)가 본격 적용되면서 매일 수차례 찍는 QR코드 정보가 어떻게 처리되는지에 대한 궁금증이 커지고 있다. QR코드를 통한 개인정보 유출을 우려하는 목소리도 나온다. 도입 필요성에는 공감하면서도 자료 수집 과정과 활용 방식에 대한 정부 설명이 부족하다는 지적이다. 김씨 뿐 아니라 온라인 커뮤니티 등에선 “정보보호가 제대로 되는 건지 모르겠다” “정부가 마음만 먹으면 내가 방문한 곳을 다 알 수 있는데 과도한 사생활 침해 아니냐”는 반응도 있다. QR코드에는 어떤 정보가 담기고, 어떻게 활용되고 있는 걸까.
QR코드 인증 시 개인정보는 네이버·카카오서 관리
2일 서울의 한 대형마트를 찾은 시민들이 입장 전 QR코드 체크인을 하는 모습. 연합뉴스
질병관리청 등의 설명을 종합하면 시설 관리자가 관리자용 앱을 설치해 이용자의 QR코드를 인식할 경우 일회성 식별코드(일종의 ID)가 생성되면서 몇 가지 정보가 분산돼 등록된다. 정보는 크게 두 가지다. 하나는 QR코드 소지자의 방문 시간과 상호 등이 담긴 방문기록이며 또 다른 하나는 QR코드 소지자의 이름, 연락처 등의 개인 정보다. 여기서 방문 기록은 식별코드와 함께 보건복지부 산하 기관인 한국사회보장정보원에 저장된다. 반면 개인 정보는 대상자가 과거 네이버, 카카오 등에 회원 가입할 때 등록한 정보에 기초하기 때문에 각각의 플랫폼에서 데이터를 관리하게 된다. 한국사회보장정보원 관계자는 “정부 당국은 다중이용시설에 출입했던 시간만 기록하고 있기 때문에 이 단계에선 정부가 가지고 있는 개인 정보는 전혀 없다”고 설명했다.
이렇게 저장돼 있던 데이터가 실질적으로 사용되는 건 역학조사 과정에서다. 예를 들어 특정 공간에서 집단감염이 터졌을 경우 정부는 가지고 있던 방문 기록을 조회하게 된다. 이때 방문 이력이 있는 이들을 특정하기 위해 방문자 개인 정보를 네이버나 카카오 측에 요청한다. 해당 플랫폼에서 정보를 제공하게 되면 실제 방문자가 조회돼 추적 관리가 가능해진다. 정부가 개인 정보를 요청할 수 있는 법적 근거는 ‘감염병 예방 및 관리에 관한 법률(감염병예방법)’에서 기인한다. 다만 수집된 기록들은 4주 뒤 모두 파기하는 것이 원칙이다.
실제 질병관리청에 따르면 지난달 29일 기준 현재까지 수집된 QR코드는 누적 33억2137만건(중복 포함)이다. 여기서 4주 원칙에 따라 파기된 건 29억4071만건이며 역학조사에 활용된 건수는 1111만6020건이다.
“오남용 우려 있어”…일각선 “유럽방식보다 안전”
지난달 16일 대전 서구에 위치한 식당에서 고객이 백신패스 QR코드 체크를 하고 있다. 뉴스1
일각에선 이 과정에서 정보가 오남용될 수 있다는 점을 우려했다. 현행법상 역학조사 과정에서 동선 정보가 필요하다고 판단될 경우 밀접접촉자 등이 아니더라도 정보를 요청할 수 있기 때문이다. 임종인 고려대 정보보호대학원 교수는 “긴급사태이기 때문에 역학 정보를 수집하는 것 자체는 어쩔 수 없지만 오남용될 우려에서 완전히 자유로울 수는 없다”고 지적했다. 그러면서 “질병 관리 목적으로만 사용돼야 하는데, 해당 목적 외에 사용될 수 있다”며 “이를 막기 위해 독립된 TF 기구 등을 만들어 제대로 정보 파기가 이뤄지고 있는지, 보안상 취약점이 있는지 지속해서 체크해야 한다”고 말했다. 아울러 “네이버나 카카오 등에서도 정부에 몇 건이나 사실 확인을 해주었는지 스스로 통계를 발표해 국민이 관심을 가질 수 있도록 해야 한다”고 덧붙였다.
반면 김명주 서울여대 정보보호학과 교수는 “물론 정보가 오남용할 가능성이 전혀 없지는 않지만, 기존 수기 명부보다는 개인 정보보호가 강화된 측면이 있다”고 설명했다. 김 교수는 “수기로 쓴 정보는 모두가 알아볼 수 있고 취합된 정보를 각각의 점포에서 어떻게 처리하는지 일일이 확인하기가 어려운데 QR코드는 점포 사장도, 시스템 관리자도 볼 수 없도록 보안이 돼 있어 상대적으로 안전하다”고 말했다. 다만 “내부 관리자들이 접근할 수 있다는 것과 데이터가 서버 한 곳에 저장돼 있어서 한번 뚫리면 전체가 뚫릴 수 있는 우려는 있다”고 설명했다. 김 교수는 “가장 중요한 건 ‘투명성’을 유지하며 국민들의 ‘설명요구권’을 인정하는 것”이라며 “국민의 불안을 잠재우기 위해서는 사전에 어떤 정보를 수집하고 어떻게 사용하고 있는지 투명하게 설명해야 한다”고 말했다.
염흥렬 순천향대 정보보호학과 교수는 “한국의 QR코드 방식이 유럽보다 사생활 보호가 더 잘 이뤄지고 있다”고 말했다. 염 교수는 “한국은 블록체인 방식을, 유럽은 공개키 구조(PKI) 방식을 사용하는데 개인 정보보호 측면에서는 블록체인 방식이 더 우수하다”고 설명했다. 또 “정보 이용 목적을 ‘감염병 예방 및 관리ㆍ확산 방지’로 한정하고 있어 다른 목적으로 사용될 가능성은 작다고 본다”고 덧붙였다.
QR코드를 통한 개인정보 유출 우려에 대해 질병관리청 관계자는 “임의로 국민의 동선 정보를 수집하는 건 불가능하다”며 “역학조사 과정에서 필요한 부분에 한해서만 정보를 취합하고 있다”고 설명했다.
