‘2023년 법령해석 심의·의결안건 결정문 모음집’에서 개인정보보호 및 활용사례 조명
악성 앱 설치로 개인·금융정보 탈취, 보이스피싱으로 인한 재산 피해 시 복구 ‘어려워’
금융기관에 개인정보 제공해 보이스피싱 의심 계좌 금융거래 제한
[보안뉴스 박은주 기자] 보이스피싱(전화금융사기) 일당은 겉보기에 일반 앱과 구분이 어려운 악성 앱을 만들어 유포한다. 무심코 설치한 악성 앱을 통해 사용자 개인정보와 금융정보가 새어 나가고, 금전 탈취까지 이어지는 것이다. 공격자는 휴대폰을 원격 조종하거나, 통화를 도청하고 전화를 중간에서 가로채 피해자를 고립시키기도 한다.
▲(왼쪽부터) 하나증권을 사칭한 악성 앱(HANA INT), 하나증권 공식 앱(하나원큐 프로)[이미지=국가사이버안보센터, 하나증권]
경찰청은 2019년 9월부터 휴대전화에 악성 앱을 설치한 사람을 대상으로 대면 혹은 문자로 ‘악성 앱 설치 경고 및 삭제’ 예방 활동을 펼치고 있다. 그러나 악성 앱 설치 사실을 알리기 전에 보이스피싱 조직에게 현금을 전달하거나, 금전을 이체할 위험이 있다. 심지어 피해자에게 경찰관이나 금융기관 직원을 피싱범으로 인식하게 하고 악성 앱 설치를 경고하는 경찰을 보이스피싱 범으로 오해하게 만들어 범행을 이어가기도 한다.
예방만으로 피싱 범죄를 막기엔 한계가 있다. 따라서 경찰청은 금융기관과 협조를 통해 범죄 피해를 줄이고자 했다. 경찰관 직무집행법(제2조 제1호, 제2호, 제2의 2호)에 의해 수집한 악성 앱 설치자의 △성명 △주민등록번호를 금융기관에 제공하고, 보이스피싱으로 의심되는 금융거래를 지연하거나 일시적으로 정지하는 목적으로 사용할 수 있는지 개인정보보호위원회(이하 개인정보위)에 문의했다.
“경찰청은 악성 앱을 이용한 보이스피싱 피해 예방을 위해 악성 앱을 설치한 사람의 이름과 주민등록번호를 금융기관에 제공할 수 있습니다. 다만, 개인정보 제공을 위한 개인정보 처리 방법 마련과 악성 앱 설치자의 이익을 부당하게 침해하지 않는다는 조건을 이행해야 합니다.”-개인정보위-
보이스피싱 범죄 수법이 발달함에 따라 일반 국민이 스스로 대처하기에 한계가 있다. 특히 악성 앱이 설치된 휴대폰으로 금융거래 시, 각종 개인정보 및 인증정보가 탈취되고 재산상 피해가 발생할 확률이 높다. 보이스피싱으로 입은 피해는 현실적으로 복구가 어려운 상황이다. 관련 기관 사이 정보 공유를 통해 범죄를 예방하고 재산상 피해를 막는 것이 요구된다.
이미 금융기관에서도 계좌통합관리서비스, ATM 고액 입출금 제한 등 보이스피싱 피해 예방 조처를 하고 있다. 그러나 의심스러운 행동만으로 금융거래를 지연하거나 경찰에 신고하기엔 제약이 따른다.
금융기관과 경찰청 공조를 바탕으로 금융거래 시 주의가 필요한 대상자를 명확히 구분하고, 거래를 제한하는 것 외에는 보이스피싱을 막는 방법은 없을 것이라 결정됐다. 악성 앱 설치자의 성명을 제공하는 것이 정보주체나 제3자의 이익을 침해한다고 보기 어려우며, 재산상 이익을 보호하기 위한 측면이 크다고 판단됐다.
국가경찰과 자치경찰의 조직 및 운영에 관한 법률(제1, 2호) 및 경찰관직무집행법(제2조 1, 2호)에 따르면 국민의 생명·신체·재산 보호 및 범죄의 예방·진압·수사를 경찰의 소관 업무로 규정하고 있다. 악성 앱을 설치한 사람의 재산을 보호하고 범죄를 예방하는 것이 경찰의 소관 업무에 해당한다. 더불어 경찰청이 악성 앱을 설치한 자의 성명을 금융기관에 제공하지 않으면 소관 업무를 수행할 수 없다는 게 개인정보위의 판단이다.
이때, 개인정보 보호법(이하 보호법) 제17조 제1항 2호에 따르면 개인정보처리자는 법률 규정 또는 법령상 의무준수, 공공기관 소관업무 수행, 급박한 생명·신체·재산상 이익 등 사유에 해당할 때 정보주체의 개인정보를 수집한 목적 범위 내에서 동의 없이 제3자에게 제공할 수 있다.
다만, 경찰청에서 적법하게 진행된 압수영장에 의해 개인정보를 수집한 목적은 ‘보이스피싱 수사’를 위한 것이다. 아직 일어나지 않은 범죄를 예방하기 위한 행위는 수사에 해당한다고 보기 어렵다. 악성 앱을 이용한 금전 사기 피해의 예방 목적까지 포함하지는 않는 것. 당초 수집한 목적 범위를 초과해 제3자에게 제공하는 것에 해당한다.
따라서 개인정보를 수집한 목적 범위를 초과해 제공할 수 있는지 따져봐야 한다. 보호법 제18조 1항에 따르면 개인정보를 목적 외 용도로 제공하는 것을 금지한다. 그러나 정보주체나 제3자의 이익을 부당하게 침해할 우려가 있을 경우를 제외하고 개인정보를 수집 목적 외로 이용하거나 제공할 수 있다.
보호법(제24조의2 1항 1호, 2호)에 따르면 주민등록번호 역시 처리할 수 있으며, 악성 앱을 설치한 자의 금융거래 제한을 위해서는 정보주체의 정확한 성명, 주민등록번호 제공이 필요하다. 당사자가 아닌 사람의 금융거래를 제한하는 경우 상당한 침해가 발생할 수 있기 때문이다. 따라서 주민등록번호를 제공하는 것은 불가피하다고 결정됐다.
[박은주 기자(boan5@boannews.com)]
악성 앱 설치로 개인·금융정보 탈취, 보이스피싱으로 인한 재산 피해 시 복구 ‘어려워’
금융기관에 개인정보 제공해 보이스피싱 의심 계좌 금융거래 제한
[보안뉴스 박은주 기자] 보이스피싱(전화금융사기) 일당은 겉보기에 일반 앱과 구분이 어려운 악성 앱을 만들어 유포한다. 무심코 설치한 악성 앱을 통해 사용자 개인정보와 금융정보가 새어 나가고, 금전 탈취까지 이어지는 것이다. 공격자는 휴대폰을 원격 조종하거나, 통화를 도청하고 전화를 중간에서 가로채 피해자를 고립시키기도 한다.
▲(왼쪽부터) 하나증권을 사칭한 악성 앱(HANA INT), 하나증권 공식 앱(하나원큐 프로)[이미지=국가사이버안보센터, 하나증권]
경찰청은 2019년 9월부터 휴대전화에 악성 앱을 설치한 사람을 대상으로 대면 혹은 문자로 ‘악성 앱 설치 경고 및 삭제’ 예방 활동을 펼치고 있다. 그러나 악성 앱 설치 사실을 알리기 전에 보이스피싱 조직에게 현금을 전달하거나, 금전을 이체할 위험이 있다. 심지어 피해자에게 경찰관이나 금융기관 직원을 피싱범으로 인식하게 하고 악성 앱 설치를 경고하는 경찰을 보이스피싱 범으로 오해하게 만들어 범행을 이어가기도 한다.
예방만으로 피싱 범죄를 막기엔 한계가 있다. 따라서 경찰청은 금융기관과 협조를 통해 범죄 피해를 줄이고자 했다. 경찰관 직무집행법(제2조 제1호, 제2호, 제2의 2호)에 의해 수집한 악성 앱 설치자의 △성명 △주민등록번호를 금융기관에 제공하고, 보이스피싱으로 의심되는 금융거래를 지연하거나 일시적으로 정지하는 목적으로 사용할 수 있는지 개인정보보호위원회(이하 개인정보위)에 문의했다.
“경찰청은 악성 앱을 이용한 보이스피싱 피해 예방을 위해 악성 앱을 설치한 사람의 이름과 주민등록번호를 금융기관에 제공할 수 있습니다. 다만, 개인정보 제공을 위한 개인정보 처리 방법 마련과 악성 앱 설치자의 이익을 부당하게 침해하지 않는다는 조건을 이행해야 합니다.”-개인정보위-
보이스피싱 범죄 수법이 발달함에 따라 일반 국민이 스스로 대처하기에 한계가 있다. 특히 악성 앱이 설치된 휴대폰으로 금융거래 시, 각종 개인정보 및 인증정보가 탈취되고 재산상 피해가 발생할 확률이 높다. 보이스피싱으로 입은 피해는 현실적으로 복구가 어려운 상황이다. 관련 기관 사이 정보 공유를 통해 범죄를 예방하고 재산상 피해를 막는 것이 요구된다.
이미 금융기관에서도 계좌통합관리서비스, ATM 고액 입출금 제한 등 보이스피싱 피해 예방 조처를 하고 있다. 그러나 의심스러운 행동만으로 금융거래를 지연하거나 경찰에 신고하기엔 제약이 따른다.
금융기관과 경찰청 공조를 바탕으로 금융거래 시 주의가 필요한 대상자를 명확히 구분하고, 거래를 제한하는 것 외에는 보이스피싱을 막는 방법은 없을 것이라 결정됐다. 악성 앱 설치자의 성명을 제공하는 것이 정보주체나 제3자의 이익을 침해한다고 보기 어려우며, 재산상 이익을 보호하기 위한 측면이 크다고 판단됐다.
국가경찰과 자치경찰의 조직 및 운영에 관한 법률(제1, 2호) 및 경찰관직무집행법(제2조 1, 2호)에 따르면 국민의 생명·신체·재산 보호 및 범죄의 예방·진압·수사를 경찰의 소관 업무로 규정하고 있다. 악성 앱을 설치한 사람의 재산을 보호하고 범죄를 예방하는 것이 경찰의 소관 업무에 해당한다. 더불어 경찰청이 악성 앱을 설치한 자의 성명을 금융기관에 제공하지 않으면 소관 업무를 수행할 수 없다는 게 개인정보위의 판단이다.
이때, 개인정보 보호법(이하 보호법) 제17조 제1항 2호에 따르면 개인정보처리자는 법률 규정 또는 법령상 의무준수, 공공기관 소관업무 수행, 급박한 생명·신체·재산상 이익 등 사유에 해당할 때 정보주체의 개인정보를 수집한 목적 범위 내에서 동의 없이 제3자에게 제공할 수 있다.
다만, 경찰청에서 적법하게 진행된 압수영장에 의해 개인정보를 수집한 목적은 ‘보이스피싱 수사’를 위한 것이다. 아직 일어나지 않은 범죄를 예방하기 위한 행위는 수사에 해당한다고 보기 어렵다. 악성 앱을 이용한 금전 사기 피해의 예방 목적까지 포함하지는 않는 것. 당초 수집한 목적 범위를 초과해 제3자에게 제공하는 것에 해당한다.
따라서 개인정보를 수집한 목적 범위를 초과해 제공할 수 있는지 따져봐야 한다. 보호법 제18조 1항에 따르면 개인정보를 목적 외 용도로 제공하는 것을 금지한다. 그러나 정보주체나 제3자의 이익을 부당하게 침해할 우려가 있을 경우를 제외하고 개인정보를 수집 목적 외로 이용하거나 제공할 수 있다.
보호법(제24조의2 1항 1호, 2호)에 따르면 주민등록번호 역시 처리할 수 있으며, 악성 앱을 설치한 자의 금융거래 제한을 위해서는 정보주체의 정확한 성명, 주민등록번호 제공이 필요하다. 당사자가 아닌 사람의 금융거래를 제한하는 경우 상당한 침해가 발생할 수 있기 때문이다. 따라서 주민등록번호를 제공하는 것은 불가피하다고 결정됐다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
