"발열 증상 여부를 확인하는 목적으로 카메라를 설치·운영한 자는 얼굴영상 등 개인정보 저장은 원칙적으로 금지된다. 카메라 촬영은 단순히 발열 확인 용도로만 일시적으로 이용해야 하고, 카메라 저장기능은 비활성화(끄기)해야 한다."

[디지털비즈온 조성훈 기자] 개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 4월 13일(수) 정부서울청사에서 제6회 전체회의를 개최하고, 열화상 카메라에 촬영된 영상을 정보주체의 동의없이 저장한2개 사업자와 본인 개인정보 열람에 대해 정당한 거절 사유를 알리지 않은 2개 사업자에게 총 1,200만원의 과태료 처분을 의결하였다.

코로나19 방역에 사용되는 열화상 카메라 중 일부에서 얼굴 등 개인정보 저장 기능이 있는 것으로 확인됨에 따라, 외부 해킹에 의한 개인정보 유출 우려가 종종 제기되어 왔다. 이에 개인정보위는 ‘21년 10월 박물관, 공항, 항만, 호텔 등 다수가 모이는 다중이용시설을 대상으로 열화상 카메라 운영현황을 점검하였다.

◇코로나 열화상 카메라에 촬영된 영상 저장, 4개 사업자 과태료 처분

그 결과, 대부분의 시설에서는 열화상 카메라의 저장기능을 비활성화(끄기)하고 발열 확인 목적으로만 사용하고 있었으나, 롯데호텔 서울(서울 중구)은 방문객들의 발열 여부 확인을 위해 호텔 1층 로비에 설치한 열화상 카메라(2대)를 폐쇄회로카메라(CCTV)처럼 활용하여, 촬영된 영상을 약 2주간 관제 프로그램으로 점검(모니터링)하고 내부망에 저장하고 있었다. 또한 아세아제지(주)는 세종시 소재 공장에서 직원들의 발열 확인 및 감염병 발생 시 해당 직원 확인을 위해 직원의 동의없이 얼굴 사진과 이름을 열화상 카메라에 등록한 사실이 확인되었다.

이날 개인정보위는 ▲개인영상정보 열람 요구를 거절하면서 정당한거절 사유를 정보주체에게 알리지 않은 ㈜미래에이앰씨·대자인병원에도 과태료 처분을 내렸다.

박영수 개인정보위 조사1과장은 “열화상 카메라는 발열 확인 등 최소한의 목적으로만 이용해야 개인정보 침해 등 위험을 방지할 수 있고” “더불어 각 사업자들은 정보주체의 개인정보 열람 요구에 대해 성실하게 대응함으로써, 국민의 개인정보 자기결정권을 충분히 행사할 수 있는 환경을 만들어 나가야 할 것”이라고 말했다.

◇개인정보보호 법규를 위반, 6개 사업자, 과태료 및 시정명령

개인정보보호 법규를 위반한 6개 사업자에게 총 4,500만 원의 과태료 부과와 시정명령 처분을 의결하였다. 이번에 처분을 받은 사업자는 ㈜현대이지웰, ㈜쏘스뮤직, ㈜발카리, ㈜민병철교육그룹, 번개장터㈜, ㈜LG헬로비전(舊㈜씨제이헬로) 등 6개 사업자로, 처분대상 행위가 모두 경미한 위반행위에 해당되어 과징금은 부과되지 않고, 과태료 및 시정명령을 부과받았다.

㈜쏘스뮤직은 소속 그룹의 해체 관련, 회원권(멤버십) 비용의환불을위해 구글 설문지를 이용하면서 설문 결과의 공개 설정을 잘못하여설문 참여자 22명의 개인정보가 상호 간 열람되었다. ㈜현대이지웰은 다른 서비스 간 로그인 정보를 연동하는 과정에서 개발 실수로 이용자가 다른 계정으로 로그인되도록 함으로써, 58명의 개인정보가 타인에게 공개되었으며, ㈜발카리는 안전한 인증수단 등의 보호조치를 하지 않아 본인만 볼 수 있는 게시판 글에 포함된 개인정보가 타인에게 유출되었고, 1년 이상 장기 미이용자의 개인정보를 파기하지도 않았다.

이 밖에 ㈜민병철교육그룹, 번개장터㈜, ㈜LG헬로비전(舊㈜씨제이헬로) 등 3개 사업자는 개인정보가 유출된 사실은 확인되지 않았으나, 전송구간 암호화 의무를 위반하거나 개인정보취급자의 접속기록을 남기지 않는 등 개인정보 보호조치 의무를 위반한 것으로 밝혀졌다.

윤정태 개인정보위 조사2과장은 “담당자 부주의, 관리 소홀 등 사소한 부분에서도 개인정보 유출은 언제든지 일어날 수 있다.”라며, “국민의 소중한 개인정보를 다루는 사업자들은 개인정보가 안전하게 관리되도록 의무사항을 상시 점검하고 보안의식을 제고해야 한다.”라고 말했다.