IT로 코로나에 맞선 ‘K-방역’…그런데 프라이버시는요?

코로나19와 프라이버시 컨퍼런스

가 +
가 -

“역학적 효능은 크지만, 프라이버시 침해 문제가 있다.”

코로나19 사태가 장기화되면서 ‘K-방역’을 바라보는 시선도 다양해지고 있다. 각종 IT 기술을 접목한 한국식 방역이 코로나19 확산을 막는데 큰 성과를 거뒀다는 긍정적 평가부터 유럽을 중심으로 한 국제사회에서 프라이버시 침해에 대한 비판도 나온다. 전문가들은 한국의 네트워크 기반 중앙집권적 감염 추적이 역학적 효능은 크지만 광범위한 법 적용 문제, 지자체를 통해 확진자 정보가 공개되는 과정에서 프라이버시 침해 문제가 발생하고 있다고 짚고 있다.

세계 각국에서는 ‘코로나19’ 대응에 다양한 IT 기술을 활용하고 있다. 사진은 드론을 통해 중국 내 방역 활동을 지원하는 DJI.

이의진 카이스트 산업및시스템공학과 교수는 지난 24일 열린 ‘COVID-19에 대한 ICT 기반 대응과 프라이버시’ 컨퍼런스에서 “ICT 기술을 활용한 역학조사로 효율을 높일 수 있지만, 불필요한 정보가 너무 많이 공개돼 확진자에 대한 사회적 낙인을 초래한다”라고 꼬집었다. 이날 컨퍼런스는 한국인공지능법학회 주최, 한국마이크로소프트 후원으로 코로나19 대응에 있어 ICT 기술 활용과 프라이버시 보호의 균형 문제를 논의하기 마련됐다.

광범위한 정보 수집 가능한 K-방역 시스템

이의진 교수는 밀접 접촉자 추적 과정에서 공개된 정보를 통해 광범위한 개인정보 수집 및 유추가 가능하다고 분석했다. 밀접 접촉자를 찾는 과정에서 확진자의 동선이 공개되고, 추가 정보가 지자체 및 언론 보도를 통해 나오고, 온라인 커뮤니티에서 정보 조합 및 루머 확산이 이뤄지고 있다는 지적이다.

확진자의 성별, 나이, 거주지, 직장, 민감정보, 사회적 관계, 일상 활동 등이 노출되면서 오히려 동선 공개 목적과 달리 방역이 어려워지는 경우도 발생하고 있다. 이태원 클럽발 코로나19 집단 감염 사태 당시 성소수자를 향한 혐오가 이를 뒷받침한다. 코로나19 확산 방지를 위한 동선 공개 정보가 확진자의 불륜 및 연애 관계에 관한 가십거리로 소비되기도 한다.

(왼쪽부터) 최홍조 건양대 교수, 조상연 질병관리본부 보건연구관, 정필운 교원대 교수, 고학수 서울대 교수, 고환경 변호사, 이의진 카이스트 교수, 박상철 변호사, 강태욱 변호사

이른바 ‘K-방역’에서 확진자 동선 추적은 광범위 정보 수집을 통해 이뤄진다. 이태원 클럽발 코로나19 사태 당시엔 통신사 기지국 접속 정보, CCTV, 신용카드 사용 내역 등 다양한 경로로 클럽 방문자를 추적했다. 2015년 메르스 유행 경험을 바탕으로 감염병예방법이 개정되면서 감염병환자 및 감염병의심자에 대한 위치정보를 제공받을 수 있도록 법적 근거가 마련됐다.

또 역학조사관이 이 같은 정보에 쉽게 접근할 수 있는 ‘역학조사지원시스템’이 활용되고 있으며, 자가진단과 자가격리자 관리, 밀접 접촉자 추적을 위한 앱과 QR 코드를 활용한 전자출입명부시스템 등이 역학조사를 돕기 위한 IT 기술로 사용되고 있다.

이의진 교수는 국내 7개 도시 확진자 동선 공개 정보 970건을 분석해 프라이버시 위험 수준을 분석한 결과 지역별로 위험 수준이 다르게 나타났다고 밝혔다. 지자체의 확진자 이동 경로 공개 과정에서 광범위한 정보 유출이 일어난다는 지적이다. 이의진 교수는 “정부에서 정보 공개 가이드라인을 발표한 후 위험 수준이 낮아졌으나 효과는 제한적이다”라고 말했다.

블루투스 기반 모바일 앱 추적 방식 쓰는 서구권

한국이 네트워크와 카드 내역, GPS 기반의 추적 방식을 활용한다면, 서구권은 주로 블루투스 기반의 모바일 앱을 통한 추적 방식을 사용하고 있다. 블루투스를 활용해 스마트폰 이용자의 접촉자 정보를 수집하는 시스템이다. 두 사람이 마주치면 스마트폰 블루투스 기능을 통해 임시 ID(Ephemeral ID)를 교환하고, 한쪽이 확진된 것으로 확인되면 접촉한 사용자들에게 해당 사실을 알림 형태로 알려주는 방식이다.

이는 다시 수집된 정보를 어떻게 저장하고 관리하느냐에 따라 중앙 집중형과 분산 처리형으로 나눠진다. 중앙 집중형은 수집된 정보를 중앙 서버에 저장해 활용하는 방식이다. 반면, 분산 처리형은 각 기기에 자신이 수집한 정보만 저장해 처리하는 방식이다. 서버에 가명화 ID를 통해 자기 정보를 올리면 각 기기에서 이를 활용해 밀접 접촉 유무를 확인하는 식이다. 프랑스를 비롯한 유럽 8개국 전문가 130여명이 참여해 개발한 ‘PEPP-PT(Pan European Privacy Protecting Proximity Tracing)’가 중앙 집중형에 해당하며, 구글과 애플이 개발한 코로나19 동선 추적 API가 분산 처리형에 속한다.

코로나19 감염 동선 추적 기술 유형 분류 (출처=박상철 변호사 발표 자료)

유럽에서는 블루투스 기반 모바일 앱을 활용하는 데 있어서도 중앙 집중형이냐 분산 처리형이냐를 놓고 첨예한 논쟁이 진행되고 있다. 분산 처리형이라고 해서 개인정보보호법 논란에서 자유롭지 않다는 주장도 나온다. 백그라운드 앱 구동, 데이터 수집 등을 놓고 구글-애플 방식의 한계점도 지적된다.

이 같은 모델은 프라이버시를 우선시하지만 역학적 효능 면에서는 한계가 명확하다. 최근 연구 결과에 따르면 최소 60% 이상의 사람들이 자발적으로 해당 앱을 설치·사용해야 효과가 있는 것으로 확인됐지만, 유럽 인구의 4분의 1가량은 스마트폰 자체가 없다. 또 실제 블루투스 기반 모바일 앱을 설치하는 비율은 20~30% 수준인 것으로 나타났다. 프라이버시 유지를 위한 익명화와 가명화, 확진자 자발성에 의존하는 구조로 인해 역학적 효능이 떨어진다는 얘기다.

한쪽 모델 우월성 없지만, 프라이버시 논의 지속돼야

컨퍼런스에 참석한 이들은 K-방역의 역학적 효과는 인정하면서도 프라이버시 문제를 비롯해 추후 법적 정비가 필요하다는 데 입을 모았다.

이날 행사에서 이동경로 추적·공개에 관한 국내외 법적 평가를 주제로 발표한 박상철 변호사는 “서구권의 방식은 역학적 효과가 입증되지 않았으며, 시뮬레이션 결과는 있지만 현실 세계에서 의미가 있을지 의문이다”라면서도 “국내 방식은 역학적 효능 면에서 블루투스 방식과 비교할 수 없이 크지만 운영 과정에서 자료가 가공돼 지자체를 통해 프라이버시 유출 문제가 발생하고 있다”라고 짚었다.

또 “개인정보 관련 법상 동의만 면제될 뿐, 기술적·관리적 조치가 면제되는 것은 아니다”라며, 역학조사관 외 정보를 제공받는 자의 범위를 제한하는 등 법률의 추가 정비가 필요하다고 주장했다.

박상철 변호사는 확진자 이동경로 공개에 대한 법적 문제도 지적했다. 확진자의 성명·국적·연령·거주지역을 특정하고 동선을 확진자별로 나눠 공개하는 현재 방식으로는 제대로 된 비식별화가 이뤄지지 않고, 정보 취합을 통해 개인의 프라이버시를 침해하고 낙인 효과가 발생한다며 문제를 제기했다. 나아가 이는 헌법상의 적법절차 원칙, 최소 침해 원칙을 충족하지 않는다고도 말했다. 또 14일 공개 기간 제한을 두고 있지만, 인터넷상에서 정보가 박제되는 문제가 있다고 짚었다. 프라이버시 침해 문제와 함께 확진자 방문 영업장의 영업상 손실 문제도 있다.

이날 토론에 참석한 정필운 교원대 일반사회교육과 교수는 “국민의 알권리를 위해 확진자 동선 정보가 공개되는 것이라면 감염병 예방을 하기 위한 목적 범위에서 알면 되는 것이지 그 이상 알 필요 없고 타인의 기본권을 침해할 수 있다는 점을 명확히 해야 한다”라고 말했다.

고환경 법무법인 광장 변호사는 “동선 공개가 확진자에 대한 낙인과 차별로 이어진다는 비판이 지적되자 질병관리본부의 가이드라인이 개선되고 기술적 해결 방안이 마련된 점은 인상적인 대목이다”라면서도 “동선 공개에 대한 법이 지나치게 광범위하며, 지방자치단체의 동선 공개는 법적 근거가 없다”라고 지적했다.

조상연 질병관리본부 보건연구관은 “유흥시설 등 집단감염 위험시설의 출입자 명부 50% 이상이 허위로 작성되고 있는 탓에 IT 기술 활용이 불가피하며, QR코드를 활용한 전자출입명부의 경우 암호화된 값을 통해 개인정보 보호 처리를 하고 있다”라고 말했다.