Home > 전체기사

국내 공공 CCTV 설치·운영 가이드라인과 해외 규제현황 길라잡이

  |  입력 : 2022-06-28 11:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
공공기관 CCTV 설치·운영 대수 2021년 145만 8,465대
공공기관 CCTV 설치·운영 가이드라인 4차 개정, 어린이집 CCTV 열람 기준 개선


[보안뉴스 엄호식 기자] CCTV의 증가와 생활 속 휴대전화 영상촬영, 그리고 유튜브와 인스타그램 등 SNS 공유의 일상화, 드론과 얼굴인식 등의 생체인식 기기, 자율주행차 등 영상처리를 기반한 새로운 제품과 서비스가 개발되며 개인영상정보 보호에 대한 관심도 높아지고 있다.

[이미지=utoimage]


영상은 쉽고 빠르게 데이터 수집이 가능한 4차 산업혁명 시대의 핵심기술로 우리나라를 비롯한 전 세계의 국가들이 데이터 경제 시대의 주도권 확보를 위해 정책지원과 더불어 개인 권리 보호를 위한 규제 강화를 병행하고 있다.

한국인터넷진흥원의 30~40대 직장인의 하루로 보는 CCTV 노출 현황 조사 자료(2019)에 따르면 출근부터 퇴근 후 자기계발·여가활동, 그리고 귀가까지의 여정을 따라가 보면 하루 동안 총 98회 CCTV에 노출된다는 결과가 나왔다. 그 후 3년여가 흘렀으니 아마도 이 횟수는 더 늘어났을 것으로 예상된다.

통계청의 자료에 따르면 2008년 15만 7,197대였던 공공기관 CCTV 설치·운영 대수는 14년이 지난 2021년 145만 8,465대로 827.8% 증가했으며, 해마다 평균 약 21.9%씩 증가했다. 그리고 한국인터넷진흥원에 따르면 2014년 영상정보처리기기(이하 CCTV) 설치는 807만대였으며, 매년 10% 증가를 기준으로 했을 때 2021년 말 약 1,600만대(민간·공공기관 포함)로 추정된다고 밝혔다.

▲2008년~2021년 공공기관 CCTV 설치와 운영 대수[자료=통계청]


개인정보보호법상 영상정보처리기기에 대한 관련 규정
CCTV 설치가 늘어나며 일반적인 개인정보뿐만 아니라 개인영상정보 유출에 대한 관심도 증가하고 있다. 현재 개인정보보호법 내 영상정보처리기기는 일정한 공간에 지속해서 설치돼 사람 또는 사물의 영상을 촬영하거나 이를 유·무선망을 통해 전송하는 장치로 대통령령(폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라(동법 시행령 제3조))으로 정하는 장치를 뜻한다(개인정보보호법제2조 제7조). 이때 일정 장소에 고정 설치된 장치를 법적 규율 대상으로 한다(이동형 기기는 제외).

그리고 개인정보보호법 제25조에 따라 공개된 장소에서는 법령상 허용된 목적 외에는 CCTV의 설치와 운영을 금지하고 있으며, 사생활 침해 장소 설치와 목적 외 조작, 녹음 등을 금지하고 안내판을 의무 설치해야 한다.

▲일반 개인정보와 개인 영상정보의 특성[자료=한국인터넷진흥원]


CCTV 설치·운영이 가능한 경우는 △법령에서 구체적으로 허용하고 있는 경우 △범죄의 예방 및 수사를 위해 필요한 경우 △시설 안전 및 화재 예방을 위해 필요한 경우 △교통단속, 교통정보의 수집·분석 및 제공을 위해 필요한 경우이며, 이를 위반할 경우 3,000만원 이하의 과태료가 부과된다.

또한, 법 제25조 제2항에 따라 CCTV를 누구든지 불특정 다수가 이용하는 목욕실과 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 설치·운영해서는 안 된다. 다만, 교도소 등 교정시설이나 정신의료기관, 정신질환자 사회복귀시설, 정신요양시설 등 법령에 근거해 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설은 예외다. 이를 위반할 때는 5,000만원의 과태료가 부과된다.

공공기관이나 교정시설은 CCTV를 설치·운영하려는 공공기관의 장과 CCTV를 설치·운영하려는 자는 공청회, 설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해 관계인의 의견을 수렴해야 한다.

CCTV를 설치·운영하려는 자는 정보 주체가 인식할 수 있도록 △설치 목적 및 장소 △촬영 범위 및 시간 △관리책임자 성명 및 연락처 △위탁받는 자의 명칭 및 연락처(공공기관만 해당) 등이 포함된 안내판을 설치하는 등 필요한 조치를 해야 한다(위반 시 1,000만원 이하의 과태료 부과). 또, CCTV의 설치목적과 다른 목적으로 CCTV를 임의로 조작하거나 다른 곳을 비춰서는 안 되며, 녹음기능도 사용할 수 없다. 이를 위반할 경우, 3년 이하의 징역 또는 3,000만원 이하의 벌금이 부과된다.

CCTV 운영자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 해야 한다. 이를 위반할 때는 3,000만원 이하의 과태료가 부과되며, 유출 시에는 2년 이하의 징역 또는 1,000만원 이하의 벌금이 부과된다. 또, CCTV 운영자는 대통령령으로 정하는 바에 따라 CCTV 운영·관리 방침을 마련해야 하는데, 이 경우 제30조에 따른 개인정보 처리 방침을 정하지 않아도 된다. 그리고 CCTV 설치·운영에 관한 사무를 위탁할 수 있는데, 공공기관이 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우에는 대통령령으로 정하는 절차와 요건(위탁하는 사무의 목적 및 범위 등을 문서화, 안내판에 수탁자 명칭 기재)에 따라야 한다.

‘공공기관 CCTV 설치·운영 가이드라인’과 4차 개정 핵심 포인트
2012년 3월 제정된 ‘공공기관 CCTV 설치·운영 가이드라인’은 개인정보보호법 제25조와 개인정보보호법 시행령 제22조부터 제27조, 표준 개인정보보호 지침 제3장을 근거로 공공기관의 영상정보처리기기 설치·운영 및 개인영상정보 보호에 대해 공공기관이 준수해야 할 사항을 업무 담당자가 이해하기 쉽도록 기준을 제시하기 위해 마련됐다. 이후 2012년 12월 1차 개정을 시작으로 2차(2015년 1월), 3차(2020년 12월) 개정에 이어 2021년 12월 4차 개정됐다.

‘공공기관 CCTV 설치·운영 가이드라인’의 기본원칙은 공공기관은 개인의 사생활이 침해되지 않도록 영상정보처리기기를 최소한으로 운영해야 하며, 개별 구체적 사안에서 △영상정보처리기기 설치·운영 제한 및 필요 최소한 촬영 △영상정보처리기기 임의 조작·녹음 금지 △설치 시, 의견 수렴 및 안내판 설치를 통한 설치 사실 공지 △영상정보처리기기 운영·관리 방침 수립·공개 및 책임자 지정 △영상정보의 목적 외 이용·제공 제한 및 보관·파기 철저 △영상정보처리기기의 설치·운영 위탁 시, 관리·감독 철저 △정보 주체의 자기 영상정보 열람권 보장 △개인 영상정보의 안전성 확보 조치 및 자체 점검 현황 등록 등의 원칙이 구현될 수 있도록 적용해야 한다.

4차 개정, 어린이집 CCTV 열람 기준 개선
2021년 1월 학대 피해 아동 부모가 학대 사실확인을 위해 어린이집에 CCTV 열람을 요구했지만, 어린이집이 ‘개인정보 보호법’을 이유로 CCTV 원본 공개를 거부하고, 피해 가족에게 영상 모자이크 처리비용(시간당 60만원)을 요구해 논란이 된 사건이 발생했다.

▲영유아보육법과 개정 전 공공기관 CCTV 설치·운영 가이드라인 내용 비교[자료=한국인터넷진흥원]


문제는 영유아보육법 제15조의 4제2항제3호에 따르면 ‘영유아보육법’은 정보주체의 사생활 침해를 최소화하는 방법으로 영상정보를 처리하도록 요구할 뿐, CCTV 열람 시 마스킹 처리를 필수적으로 요구하지는 않는다. 하지만 기존의 ‘공공기관 CCTV 설치·운영 가이드라인’에서는 법률에 규정한 것을 넘어 CCTV 열람 시 ‘정보 주체 이외의 자’를 마스킹 처리하도록 의무화해 마스킹 처리에 과도한 비용을 요구하거나 마스킹 처리에 대한 어려움을 이유로 열람을 거부하는 사례가 다수 발생했다.

▲영유아보육법 개정 전·후 내용 비교[자료=한국인터넷진흥원]


이에 어린이집 CCTV 열람 기준이 개선됐다. 이제는 보호자가 아동학대 사실 확인을 위해 어린이집 CCTV 영상 원본 열람을 요구하는 경우 관련 법에서 마스킹 처리를 요구하고 있지 않으므로, 별도의 마스킹 처리 없이 열람이 가능하다. 단, CCTV 영상을 외부로 반출하고자 하는 경우에는 다른 영유아 및 보육교직원의 권리 침해 우려가 있어, 모든 정보 주체의 동의를 받거나 마스킹 처리를 해야 한다.

가이드라인 개정 후, ‘영유아보육법’ 역시 보호자가 자녀 또는 보호아동의 안전을 확인할 목적으로 요청하는 경우, ‘영상정보의 원본’을 열람할 수 있도록 명시한 6월 개정안이 2021년 6월 국회에서 통과돼 2021년 12월부터 시행돼 논란을 해소했다.

지방자치단체 개인정보를 위한 ‘시도 개인정보 보호 표준 조례안’ 마련
최근 연이은 공공기관의 개인정보 유출 사고 발생으로 공공기관의 안전한 개인정보 관리에 대한 사회적 요구가 높아지는 상황이다. 특히, 지자체는 주민의 개인정보를 실무 현장에서 직접 처리하기 때문에 개인정보 보호에 대한 국민의 관심이 더욱 집중되고 있다.

그러나 개인정보 보호 조례를 운영하는 지방자치단체는 전체 지자체의 9%(23개/243개)에 불과한 등 지자체의 개인정보 보호 체계는 아직 미흡한 실정이다. 이에 개인정보위는 지자체 개인정보 보호 체계 강화를 위해 개인정보의 보호와 처리에 관한 내용을 종합적으로 다룬 ‘시도 개인정보 보호 표준조례안’을 마련했다.

지난 6월 14일 개최된 제2회 중앙·지방 정책협의회에서 안내한 ‘시도 개인정보 보호 표준 조례안’은 개인정보 보호를 위해 지자체가 개인정보를 처리하는 전 과정에서 개인정보 보호 담당 주체·의무·역할·절차 등을 체계적으로 규율하고, 지자체 특성을 반영할 수 있도록 했다.

개인정보 보호 표준조례안의 주요 내용은 다음과 같다. 먼저, ‘개인정보 보호법’의 개인정보 보호 원칙을 명시하고 지자체장의 책무를 구체적으로 규정했다. 둘째, 지자체의 상황에 맞는 개인정보 정책의 수립과 정책의 일관성 확보를 위해 정책 심의·자문기구인 개인정보 관계기관 협의회의 구성·운영 방식과 역할을 규율했다. 마지막으로 지자체에서 처리되는 개인정보의 안전한 관리 방안을 규정했다.

특히, 개인정보보호 책임자의 역할과 자격요건을 명시하고, 대규모 개인정보 처리시스템을 운영하는 경우 해당 시스템을 담당하는 개인정보 시스템 관리책임자를 별도로 지정하도록 해 촘촘하게 관리할 수 있도록 했다. 또한, 개인정보 침해요인 평가, 개인정보 파일 관리, 개인정보 영향평가, 유출 등 사고 발생 시 대응 방안 등 개인정보 처리 과정별 관리주체도 역할을 명확히 했다.

한편, 개인정보위는 각 시도가 개인정보 보호 표준조례안의 내용을 쉽게 이해하고, 지자체 특성에 맞는 조례를 제·개정할 수 있도록 경남권(7월 12일), 수도권(7월 21일), 전라권(8월 26일 예정), 경북권(8월 31일), 충청권(9월 1일) 등 권역별로 설명회를 개최할 예정이다.

[이미지=utoimage]


해외 주요 국가의 영상 등 개인정보 보호 규제 현황
얼굴인식 등 생체 정보를 비롯해 CCTV와 드론, 자율주행 자동차 등을 통해 노출되는 개인정보가 늘어남에 따라 세계 각국에서도 규제를 강화하고 있다.

유럽연합(EU)은 2021년 4월 EU 집행위가 공개적으로 접근할 수 있는 장소에서는 실시간 원격 생체인식 사용을 원칙적으로 금지하는 내용의 ‘AI 규제법안 초안’을 발표했다. 여기에는 △실종아동 등 범죄 피해자에 대한 수색 △자연인의 생명·테러 위협에 대한 구체적 실질적 위협의 예방 △테러·인신매매 등 32가지 범죄 용의자 또는 3년 이상 구금형 범죄 용의자의 탐지 및 식별 등의 목적 중 어느 하나를 위해 엄격히 필요한 경우에만 비례적 보호조치를 조건으로 허용했다.

실시간 생체인식 기기는 적합성 평가와 유럽안전인증, EU에 등록, 사용 전 사법기관 승인 등이 필요하다. 하지만 EU 정보보호위원회(EDPB)와 시민단체 등은 더욱 엄격한 수준의 규제를 도입해야 한다고 촉구하고 있다.

이에 앞서 EU는 2015년 드론 활용과 관련한 개인정보 이슈에 대한 공식 의견서를 발표하며 순수한 개인 활동은 법 적용 예외, 생명 보호나 공정 권한 집행 등 법 집행 목적은 엄격히 제한한다고 발표했지만 이후 업데이트되지 않았다.

또, 2021년 3월에는 EU EDPB에서 자율주행차 관련 개인정보 보호 가이드라인을 발표했다. 여기에는 △유럽 개인정보보호법(GDPR) 적용 명문화 △위치·생체정보 등 개인정보 처리 시 원칙 준수 △데이터 최소 수집 및 로컬 처리 권고 △외부 전송 시 익명화 또는 가명화 적용 등의 내용이 담겨 있다.

미국은 2021년 4월 연방 이민당국의 생체정보 접근을 제한하는 결의안을 통과시킨 일리노이 주를 비롯해 텍사스 주와 워싱턴 주 등이 생체정보(얼굴, 홍채, 지문 등) 수집 시 동의를 의무화하는 법률을 도입했으며, 뉴욕 주 등 여타 주에서도 입법을 추진하고 있다.

그런가 하면 2021년 6월 국제사면위원회(Amnesty International)는 뉴욕 경찰이 1만 5,000개 이상의 카메라와 얼굴인식을 통해 특정 개인을 식별·추적할 수 있다고 발표했다. 또, FBI는 1999년부터 범죄자 등 1억명 이상의 얼굴 정보, 홍채, 지문 등을 포함하는 차세대 범죄기록 검색시스템(Next Generation Identification)을 구축했으며 형사사법 인력만 접근을 허용하고 있다. 한편, 미국 연방 차원의 개인정보보호법 제정 논의는 2018년 이후부터 계속 진행 중이다.

중국은 2021년 11월부터 시행된 개인정보보호법 제정을 통해 2015년부터 공공안전 차원에서 운영하는 천망(天網) 시스템의 명확한 법적 근거를 확보했다. 중국 개인정보보호법 제26조에 따르면 공공장소에 이미지 수집, 개인 신분 식별 설비를 설치하는 경우는 공공안전을 위한 필수적 조치여야 하며 국가의 관련 규정을 준수하고 분명한 안내 표지를 설치한다. 수집한 정보는 공공안전 보호 목적으로만 사용될 수 있으며 개인의 별도 동의받은 경우를 제외하고는 목적 외 사용을 금지한다.

또한, 제28조에는 민감 개인정보란 생물학적 식별, 종교, 신앙, 특정 신분, 의료 건강, 금융 계좌, 행적 등 정보, 만 14세 미만 미성년자의 개인정보가 포함된다고 명시하고 있어 민감 개인정보의 범위에 사실상 생체인식정보를 포함하고 있다. 중국의 개인정보보호법은 EU의 GDPR과 상당 부분 유사하지만, 공공업무 수행을 우선시하는 해석과 경향이 강하다.

또한, 중국은 개인정보보호법과 더불어 2021년 9월 시행한 데이터 안전법에 따라 자율주행에서 촬영한 주행 영상 등을 포함해 중국 내 수집된 개인정보의 해외 이전을 제한하고 있다. 개인정보의 국외 이전 시에는 소관 부처의 안전성 평가와 개인정보보호 인증, 표준계약, 법률 근거 등이 필요하다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)