이거 나만...?

[흥신소]코로나19 ‘QR코드’ 전자출입명부, 믿고 써도 되나요?

2020.09.09

‘흥신소’는 돈을 받고 남의 뒤를 밟는 일을 주로 한다고 합니다. ‘블로터 흥신소’는 독자 여러분의 질문을 받고, 궁금한 점을 대신 알아봐 드리겠습니다. IT에 관한 질문, 아낌없이 던져주세요. 블로터 흥신소는 공짜입니다. 이메일(bloter@bloter.net), 페이스북(https://www.facebook.com/Bloter.net) 모두 열려 있습니다.

“요즘 자주 쓰게 되는 QR코드 기반 출입명부, 여기에 개인정보를 믿고 맡겨도 될까요?”

6월 10일부터 도입된 코로나19 대응 전자출입명부 / 자료=보건복지부

가만히 생각해보니, 살면서 요즘처럼 QR코드를 자주 써본 적도 없는 것 같습니다. QR코드는 특유의 격자무늬가 특징인 ‘이차원 바코드’ 인데요. 소량의 숫자 정보만 취급하는 바코드와 달리, 다양한 멀티미디어 데이터를 담을 수 있는 QR코드는 스마트폰 확산과 함께 마케팅 용도로 널리 쓰여 왔습니다.

그런데 이 QR코드가 코로나19 시국을 맞아 때아닌 ‘효자’ 노릇을 하게 될 줄은 몰랐습니다. 코로나19 집단감염 사례가 끊이지 않자 정부는  확진자의 정확한 감염경로 파악을 위해 위험시설 방문 시 개인정보 제출을 의무화 했는데요. 이를 도와줄 간편 기술로 바로 QR코드 기반의 전자출입명부가 주목받고 있기 때문이죠.

불편한 수기명부 비켜…이젠 디지털로 관리한다 

전자출입명부에 앞서 등장했던 건 방문자가 종이에 직접 이름과 휴대폰 번호, 방문일시를 적는 수기명부였습니다. 그런데 이는 생각보다 편치 않은 일인데요. 마음만 먹으면 누구나 다 볼 수 있는 장부에 내 개인정보를 적어야 했고, 게다가 누가 만졌는지도 모르는 펜을 돌려써야 했으니 ‘비대면’이 강조되는 코로나 시국과도 어울리지 않았죠. 또 수기명부는 이름이나 연락처를 잘못 적으면 이를 알아낼 방법이 많지 않습니다.

실제로 지난 이태원 클럽 집단감염 사태 당시, 방문자 명부 기준으로 전체 4961명 중 41%에 불과한 2032명에 대해서만 통화가 가능했다는 정부 발표가 있었습니다. QR코드 기반 전자출입명부는 이런 미비점들을 보완하기 위해 6월 10일부터 전국 위험시설(정부 기준)에 우선 도입되고 있습니다.

하지만 내가 언제 어디에 갔는지 기록을 남겨야 하는 건 전자출입명부도 마찬가지입니다. 수기작성보다는 낫다지만, 여전히 미심쩍은 마음이 따릅니다. 게다가 출입용 QR코드도 대부분 네이버나 카카오 같은 민간 기업의 간편 서비스를 주로 사용하고 있는데요. 그럼 내 전화번호와 방문일시 정보는 이들 기업의 서버로 전송되는 걸까요?

카카오와 네이버가 서비스 중인 QR체크인 기능 / 자료=각 서비스 갈무리

기업은 ‘누구’의 정보만, 정부기관은 ‘방문지와 일시’만

이에 관해 알아보니 그렇지 않다고 합니다. 우리가 QR코드를 스캔할 때 기록되는 △방문장소 △이름 △전화번호 △방문일시는 QR코드 서비스 기업과 한국사회보장정보원(보건복지부 산하 준정부기관)에 분리 보관됩니다. 이때 QR 서비스 기업은 ‘이름과 전화번호만’, 정보원은 ‘언제 어디서’라는 정보만 저장하게 되죠.

쉽게 말해 양측은 자신이 가진 데이터만으론 유의미한 정보를 만들 수 없다는 의미입니다. 카카오나 네이버는 ‘OO이란 이름의 사람과 그의 번호는 알겠는데 그가 어딜 갔는지 모르겠다’이고, 정보원은 ‘O월 O일 OO 음식점에 방문했네. 그런데 누가?’가 되는 겁니다. 마치 공동 금고를 열기 위한 열쇠를 여러 사람이 나눠 갖는 것과 비슷한 구조입니다.

그럼 이 정보는 누가 어떻게 활용하냐고요? 확진자 발생 및 역학조사가 필요할 때, 오직 질병관리청(구 질병관리본부)만이 양측의 정보를 결합해 확인할 수 있도록 되어 있습니다. ‘감염병 예방 및 감염 전파의 차단을 위해 필요한 경우 전자출입명부로 수집된 개인정보를 제공받을 수 있다(감염예방법 제76조의2제1항)’는 법적 근거도 있죠.

명단 관리는 잘 이뤄지고 있을까?

다음으로 수집된 정보는 잘 관리되고 있을까요? 앞서 설명한 것처럼 정보 저장 주체들은 일부의 데이터만 갖고 QR코드도 암호화 저장되기 때문에 이를 악용하긴 어렵습니다. 또 수집된 정보는 코로나19 잠복기(14일)의 최대 2배인 4주 후 자동으로 폐기되고요. 간편하기도 하지만, 생각보다 준비가 잘 된 시스템입니다.

문제는 여전히 수기명부를 활용하는 곳들입니다. 현재 정부가 지정한 고위험시설을 기준으로 전자출입명부 도입이 의무화되어 있지만 그 외에는 여전히 수기명부를 사용하는 사업장들이 적지 않습니다. 또 정부에서도 이용자 선택권 보장, 혹은 휴대폰이 없는 경우를 대비해 신분증 대조 과정을 포함한 수기장부 작성이 가능하도록 예외조항을 두고 있습니다.

하지만 관리가 잘 이뤄지고 있다고 보긴 어렵습니다. 가이드라인대로라면 수기명부도 작성자가 타인의 정보를 볼 수 없도록 가려야 하고, 명부도 잠금장치가 있는 곳에 보관해야 합니다. 그러나 수기명부를 그렇게 철저히 관리하는 곳은 아직 보지 못했습니다. 또 21일 지상파 뉴스 보도에 따르면 수기명부에 적힌 연락처를 외워 타인에게 연락하는 사례도 실제로 발생하고 있으니까요.

물론 이 경우 사업장과 연락한 사람 모두 처벌을 받을 수 있습니다. 수기명부 관리규정 위반 시 처벌 조항으로 △개인정보를 역학조사 목적 이외의 용도로 사용, 유출했을 때는 5년 이하의 징역 또는 5000만원 이하의 벌금 △관리규정을 어기거나 수기명부를 잃어버렸을 땐 2년 이하의 징역 또는 2000만원 이하의 벌금이 부과되도록 개인정보보호법에 정해져 있습니다.

전자출입명부 확대, 자발적 도입 이어져야

안타까운 건 단순 처벌조항만으로 관리 부실에 따른 사고를 모두 막을 수 없다는 겁니다. 코로나19 감염 예방도 중요하지만, 이 과정에서 또 다른 피해자들이 양산되지 않도록 정부의 더욱 세밀한 지침과 엄격한 관리감독이 이어질 필요가 있어 보입니다.

무엇보다 수기명부 사용을 최소화하고 가급적 전자출입명부를 사용하도록 유도하는 게 중요합니다. 업주들도 불필요한 사건사고에 휘말리고 싶지 않다면 전자출입명부 도입을 적극적으로 고려할 때입니다. 도입 절차와 관리도 생각보다 단순합니다. 별도의 신청 절차 없이 구글플레이, 앱스토어에서 ‘전자출입명부(KI-Pass)’ 앱을 다운받아 설치하고 회원가입 후 △상호명 △사업자등록번호 △대표자명 △주소 등만 입력하면 전자출입명부 사용 준비가 끝납니다.

여기에 직원 계정도 별도로 구분할 수 있어 스마트폰만 있다면 언제든 더 안전하고 신속한 방문자 관리가 가능해집니다. 그리고 모두가 이렇게 조금만 더 노력해 나간다면, ‘K-방역’이란 브랜드에 부끄럽지 않도록 외국보다 빨리 코로나19 종식을 선언할 날이 오지 않을까요?

sugyo@bloter.net

더 쉽고, 알차게 쓰겠습니다.