따릉이 개인정보 유출 사태, 법률적 쟁점과 운영주체의 책임은?

장휘일 변호사

공공의 이름으로 수집된 정보, 그 보안의 무게는 충분했나

단순한 기술적 결함으로 치부하기엔 해당 사안의 무게가 가볍지 않습니다.

최근 서울시의 대표적 복지 서비스인 따릉이 이용자들의 개인정보가 대외로 유출되는 불미스러운 사건이 발생하며

국가가 운영하는 시스템은 민간보다 철저할 것이라는 막연한 신뢰가 일순간에 무너져 내리고 있습니다.

이번 사태를 두고 단순한 '전산상 해프닝'으로 결론지을 수 있을지, 아니면 국가와 지자체의 관리 소홀에 따른 엄중한 법적 책임을 물어야 할지 논란이 거세게 일고 있습니다.

무엇이 노출되었나

최근 조사에 따르면, 따릉이 서비스 운영 과정에서 보안 취약점이 발견되어 약 520만 명에 달하는 이용자 데이터가 외부로 유출된 것으로 파악되었습니다.

조사 당국이 파악한 유출 항목에는 이용자의 고유 식별값은 물론, 연락처와 거주지 주소, 그리고 가입 시 등록했던 생년월일 등이 포함되어 있어 2차 피해의 우려를 낳고 있습니다.

현재 관계 기관은 특정 IP를 통한 비정상적인 접근 경로를 집중적으로 추적하고 있으며, 관리 주체는 사고 인지 직후 법령에 의거하여 피해 사실을 공표한 상황입니다.

법리의 눈으로 본 이번 사태의 본질

"내 개인정보가 범죄에 악용되지는 않을까?"
"공적 서비스에서 발생한 사고인데 보상은 누가 해주나?"
"시스템 관리자가 법적 처벌을 받게 되는 걸까?"

이번 사건은 단순히 데이터가 새어 나간 현상을 넘어, 개인정보 보호법상 명시된 '보안 조치 의무'를 얼마나 충실히 이행했는지를 따져야 하는 중대 사안입니다.

정보통신망법과 개인정보 보호법의 교집합에서 운영 주체가 기술적인 방어벽을 충분히 세웠는지, 그리고 사고 발생 후 피해 확산을 막기 위한 골든타임을 놓치지는 않았는지가 핵심 쟁점입니다.

공공이라서 면제될 수 있는가

따릉이 사태와 같은 대규모 정보 유출에서 법적 책임을 가리는 첫 단추는 '실질적인 정보 처리의 권한과 의무'가 누구에게 있는가를 확인하는 일입니다.

지자체가 운영하는 서비스라는 이유로 책임에서 자유로울 순 없습니다. 오히려 더 방대한 데이터를 다루는 만큼, 개인정보 보호법 제29조에 명시된 안전성 확보 조치를 소홀히 했다면 그에 상응하는 법적 지탄을 피하기 어렵습니다.

개인정보보호법 제 29조(안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록
내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.