중기부, 개인정보 유출에 "노출됐다" 브리핑…책임 축소 지적

중소벤처기업부가 '모두의 창업' 개인정보 유출 사고에 대해 '노출'로 언급한 것을 두고 책임을 축소하려는 의도가 아니냐는 지적이 제기됩니다.

이는 정부가 최근 정보 유출 사고가 발생한 기업에 거액의 과징금을 잇달아 부과하고, 징벌적 과징금을 도입하는 등 보안 규제를 강화하는 흐름과도 어긋난다는 것입니다.

정부 e브리핑 시스템에 올라온 중소벤처기업부의 지난 22일 브리핑을 분석한 결과, 노용석 중기부 제1차관은 "일부 정보가 노출됐다", "개인정보나 상세 도전신청서는 노출되지 않았다", "이메일과 아이디어 요약본, 심사평, 세 가지의 정보가 암호화된 형태로 노출됐다"고 밝혔습니다.

이어진 질의응답에서도 "한 줄 아이디어와 비공개인 8천여 명의 팀원 정보가 노출됐다는 제보가 있었다", "한 달 전에 노출된 것으로 나타난 건 한 줄 아이디어와 창업 팀원 정보가 있었다"고 답했습니다.

프로젝트 선발자들의 여러 정보가 유출된 이번 사안과 관련해 노출이라는 표현을 5차례 반복해 사용한 것입니다.

브리핑에서 "금번 플랫폼 유출로 불편을 끼쳐드렸다", "합격자 정보 유출 관련 확인된 내용 말씀드리겠다", "유출 대상 및 범위는 조사 결과가 나오는 대로 설명드리겠다" 등 '유출'로 언급한 부분도 있으나, 구체적인 유출 항목과 유출 사실을 설명한 대목에선 '노출'이라는 단어를 택한 셈입니다.

이와 달리 지난 18일 유출 통보 문자메시지와 개인정보보호위원회에 제출한 유출신고서에는 유출 항목, 유출 시기, 유출 경위 등을 적었지만, '노출'이라는 단어를 쓰지 않았습니다.

개인정보보호법에서는 개인정보의 분실·도난·유출에 대한 개인정보처리자의 의무와 대응 방법을 비롯해 이에 따른 과징금 부과와 손해배상책임 등을 규정하고 있습니다.

그러나 '노출'에 관해서는 외부에 노출된 개인정보의 경우 전문 기관의 요청이 있다면 해당 정보를 삭제하거나 차단해야 한다고만 했습니다.

이번에 '노출'이라는 표현을 쓴 것이 이번 사고의 책임을 회피하려는 것이 아니냐는 의혹이 제기되는 이유입니다.

이러한 움직임이 개인정보 규제를 강화하는 정부의 추세와도 배치된다는 비판도 나옵니다.

앞서 개인정보위는 지난해 말 개인정보를 유출한 쿠팡에 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 빠짐없이 반영해 재통지하라고 요구했습니다.

이미 유출 사실을 확인했음에도, 정보주체에게 노출이라고 통보하고 유출항목의 일부를 빠뜨려 국민의 혼선을 초래했다는 판단에서입니다.

작년 5월엔 개인정보를 탈취당한 SK텔레콤이 정보주체에게 유출이 아닌 '유출 가능성'이라고 통지한 것을 두고서도 질타한 바 있습니다.

쿠팡과 SKT엔 각 6천247억 원, 1천347억 원의 과징금이 부과됐습니다.

권헌영 고려대 정보보호대학원 교수는 "노출된 정보가 (불법으로) 제삼자나 비인가자에게 넘어간 점을 확인해야 유출 개념이 된다"며 "해당 기관이 해킹 여부는 입증이 안 됐다고 주장하고 있는 셈"이라고 분석했습니다.

그는 "통상적으로 유출보다 노출이 책임이 덜할 수밖에 없다"며 "게다가 이런 입장을 일관할 경우 유출됐다는 사실을 (중기부가 아닌) 규제 기관이 입증해야 한다"고 짚었습니다.

(사진=연합뉴스)