[신문기사] ‘얼굴·음성’ 새나갔다고?…정·재계, 열화상 체온측정기 점검 나섰다

기업·정부기관, 뒤늦게 보안팀 동원해 보안 상태 점검

15일 서울 영등포구에 있는 한 대기업 사옥 1층 열화상 카메라 체온측정기 운영 모습. 이 기업은 이날 오후 사옥에 설치된 열화상 카메라 체온측정기들의 보안 상태를 점검한다고 전날 밝혔다. 실제 점검 장면은 공개할 수 없다고 해서 점검 전 방문해 찍었다.

 

15일 오전 서울 도심에 있는 한 통신사 사옥 1층. 주말이라 외부 출입자가 없는 틈을 타 회사 정보보호 담당 직원이 사내 보안 전문가와 함께 열화상 카메라 체온측정기(이하 체온측정기)의 보안 상태를 점검하고 있었다. 이 직원은 <한겨레>에 “체온 측정 대상자의 얼굴을 수집해 외부로 유출하는 기능이 들어있다는 얘기가 있어 모든 사옥에 설치된 체온측정기를 점검 중”이라고 말했다. 하지만 회사 측은 실제 점검 모습 사진촬영을 금지했고 점검 결과도 함구했다.같은 날 오후 서울 영등포구에 있는 한 대기업 사옥 1층. 회사 보안팀 직원이 체온측정기 공급업체 엔지니어를 불러 기기의 보안 상태를 점검했다. 이 직원은 “지난해 체온측정기 도입 때 보안과 안전에 문제가 없는지 꼼꼼히 점검했다”면서도 “원격으로 조정되기까지 한다는 최근 언론 보도가 있어, 해킹은 당하지 않았는지, 혹시 백도어(뒷문)가 숨겨져 있지는 않은지 등을 꼼꼼하게 살펴볼 것”이라고 말했다.

 

온라인쇼핑몰 등 시중에서 판매되는 일부 체온측정기에 측정 대상자의 얼굴 영상과 음성을 수집해 저장하는 것은 물론 외부로 유출시키기까지 하는 기능이 포함된 사실이 드러나 논란이 일면서, 주요 기업에 보안 비상이 걸렸다. 주요 산업시설의 경우에는 누가 출입했는지도 중요한 기업 비밀에 해당한다. 외부 출입자가 없는 주말을 맞아 허둥지둥 사옥 체온측정기의 보안 상태 점검에 나선 배경이다. 정부기관·기업과 다중이용시설 등은 정부 지침에 따라 코로나19 방역 차원에서 건물·사무실·매장 입구에 체온측정기를 설치해 출입자의 체온을 체크하고 있다.

 

16일 <한겨레> 취재를 종합하면, 삼성·엘지·에스케이(SK) 등 주요 그룹 계열사들이 사옥 출입구에 설치해 운영 중인 체온측정기의 보안 상태 일체 점검에 나섰다. 엘지그룹 한 고위 임원은 <한겨레>와 통화에서 “체온측정기를 처음 들여올 때 이미 꼼꼼히 체크했지만, 개인정보 침해 기능이 포함돼 있다는 언론 보도가 있어 다시 점검하기로 했다”며 “측정 대상자 얼굴 영상과 음성 수집 여부, 통신 행위가 이뤄지는지 여부 등을 살펴보고 있다”고 말했다. 삼성 관계자 역사 “관계사가 점검하고 있다”고 밝혔다.

 

통신 3사도 일제히 체온측정기 점검에 나섰다. 에스케이텔레콤(SKT)은 “처음 도입 때 보안 이슈를 점검해서 얼굴 영상이 저장 안되는 거 확인하고, 인터넷 연결 차단했다”면서 “하지만 통신사한테 개인정보 이슈는 무엇보다 엄중한 사안이라 언론 보도를 계기로 다시 점검하고 있다”고 밝혔다. 엘지유플러스(LGU+) 관계자는 “용산·마곡·상암·안암·안양 등 모든 사옥에 설치된 열화상 카메라를 점검하고 있다. 출입 관련 자료 보관 기능이 있는 기기도 일부 있지만 보안 이슈 때문에 처음부터 끈 상태로 운영 중인 것으로 확인됐다”고 말했다. 케이티(KT)는 “체온측정기 공급사 엔지니어를 불러 정보 저장·전송 기능이 있는지를 확인하고 있다”고 밝혔다.

 

정부기관들의 움직임이 분주하다. 과학기술정보통신부 산하 한 진흥원 팀장은 “<한겨레> 기사를 보고 바로 점검해보라고 해당 부서에 주문했다”고 말했다. 중소벤처기업부 산하 위원회 사무국 관계자도 “사무실이 산업단지 건물 안에 있는데, 건물을 관리하는 산업단지 쪽에 체온측정기 보안 상태를 점검해줄 것을 요청했다”고 밝혔다. 국가정보원 사이버안보센터 역시 국가 안보와 기업 보안 차원에서 체온측정기 문제를 살펴보고 있는 것으로 알려졌다.

 

기업과 정부기관들이 발빠르게 움직이는 것은 체온측정기가 측정 대상자의 얼굴과 음성 정보를 수집해 외부로 유출한 사실이 드러날 경우, 보안 문제 이외에도 개인정보 침해 논란에 휩싸이는 것은 물론 형사처벌과 손해배상 소송까지 당할 수 있어서다. 현행 개인정보보호법은 얼굴·음성 정보 등을 개인정보로 분류해, 사전 고지와 정보 주체의 동의 없이 수집·저장·제공하는 행위를 엄격히 금지하고 있다. 체온측정기에서 이런 불법행위가 일어난 것으로 드러나는 경우, 기기 제조·공급업체가 아니라 설치해 운영하는 쪽이 책임을 져야 한다.

 

기업과 정부기관들이 보안 상태 점검 사실만 밝힐 뿐 점검 결과에 대해 입을 굳게 다무는 것도 이런 사정과 무관하지 않다. 측정 대상자의 얼굴·음성 정보가 수집·저장·제공된 사실 공개는 불법행위를 했다고 자수하는 것과 다름없어서다. 한 통신사 임원은 “개인정보보호위원회가 실태점검을 하겠다고 하니 미리 준비하는 성격도 짙다”고 말했다. 한 대기업 관계자는 “기사에 따르면, 개인정보보호위가 지난해 10월 실시한 비공개 실태점검에서도 측정 대상자의 얼굴 정보가 수집되는 사례가 발견됐다고 하지 않냐. 기업 쪽에서는 체온측정기가 원격 조종된다는 것을 민감하게 본다”고 밝혔다.

 

글·사진 김재섭 선임기자

[한겨레 2021년 5월 17일]

원문보기:
https://www.hani.co.kr/arti/economy/it/995357.html#csidx0cc3eb173e0e8a2830d0d283c76699e