도로명주소 공시송달, 구글검색 통해 98,900개 개인정보 노출
법 위반 아니지만 악용 우려...행자부, 위법성 검토 후 공문 발송

[보안뉴스 김경애] 도로명주소 공시송달 제도로 인해 각 지자체가 보관 중인 개인정보가 대거 노출되고 있어 논란이 커지고 있다. 구글을 통해 이름과 주민번호 앞자리 및 뒷자리 한개, 주소 등의 개인정보가 무더기로 검색되고 있는 것.  

 ▲ 개인정보가 노출된 도로명주소 공시송달과 관련해 구글 검색된 화면
도로명주소 공시송달은 도로명주소법 제18조 제2항에 의거해 도로명주소를 부여하고 해당 건물 등의 소유자, 점유자 불명 등의 사유로 인해 도로명주소를 고지할 수 없을 경우 도로명주소법 시행령 제23조 제2항 및 행정절차법 제14조 제4항의 규정에 따라 공시송달할 수 있도록 한 제도다. 즉, 위반은 아니라는 얘기다.

하지만 이로 인해 노출된 문서들의 조회수가 예사롭지 않다는 게 문제다. 1000건에서 5000건을 훌쩍 뛰어넘고 있으며, 누구나 해당 개인정보를 다운로드 받을 수 있어 충분히 악용될 소지가 높다는 우려가 나오고 있다.

이에 본지가 구글 검색을 통해 조사한 결과 검색결과는 무려 98,900개에 달했으며, 성북구청, 구미시청 등 수많은 지차제가 검색됐다. 해당 문서는 짧게는 몇 개월에서 몇 년간 방치된 채 노출돼 있었으며, 발견된 문서의 개인정보만 8만4천여명에 달한다.

성북구청의 경우 지난 2011년 6월 17일 작성된 것으로 추정되는 문서에는 도로명주소 공시송달 공고로 고지대상자 이름, 주민번호 앞자리와 뒷자리 1개가 포함된 8,590여명의 개인정보가 포함돼 있다. 

이 외에도 추가로 발견된 문서에는 고지대상자 이름, 지번주소, 변경 전 도로명주소, 변경 후 도로명 주소, 도로명주소 변경사유, 도로명 주소 변경고시일 등 3명의 개인정보가, 지난 2012년 10월경 작성된 것으로 보이는 문서에는 16명의 개인정보가, 2014년 10월 30일에 등록된 문서에는 28명의 개인정보가 노출되는 등 총 8,650여명의 개인정보가 노출된 정황이 포착됐다.

이와 관련 성북구청 관계자는 “구글 검색을 통해 문제가 될 수 있는 문서의 경우 찾아서 삭제하고 있다”며 “발견된 해당 문서에 대해서는 조치를 취하겠다”고 말했다.

또한, 구미시청의 경우 2011년 7월 7일 등록문서에는 이름과 주민번호 앞자리 등이 포함된 390여명의 개인정보가, 2012년 1월 25일 등록문서의 경우, 이름과 주민번호, 회사명과 사업자 번호가 포함된 15명의 개인정보가, 2012년 4월 25일 등록문서에는 이름, 주민번호 등 4명의 개인정보가, 2011년 6월 23일 등록된 문서에는 고지대상자 이름 또는 사업자 대표, 주민번호 앞자리 또는 사업자 번호 등 3,390여명을 포함해 총 3,844여명의 개인정보가 노출돼 있다.

이와 관련 구미시청 관계자는 “각 부서에서 올리는 것이라 잘 모르고 있었다”며 “부서에 확인해보고 즉시 조치를 취하겠다”고 밝혔다.

더욱 큰 문제는 오랜 기간 방치된 채 노출된 지자체가 상당수라는 것이다. 익산시청의 경우 2011년 6월 22일과 23일 등 이름, 주민번호 앞자리 및 뒷자리 성별 1개, 종전주소, 도로명주소, 도로명 고시일 등 30,503명의 개인정보가, 영양군청은 지난 2011년 6월 23일 작성된 것으로 보이는 ‘공고 제2011-277호’ 문서에서 고지대상자 이름, 주민번호 또는 사업자 번호 등 1,952명의 개인정보가, 의성군청의 경우 지난 2011년 6월 28일 등록된 ‘제2011-341호 공시송달 공고’ 문서에 이름, 주민번호 앞자리와 뒷자리 1개, 종전주소, 도로명 주소 등 6,810명의 개인정보가 노출된 채 방치돼 왔던 것이다.

게다가 개인정보가 노출된 인원수도 적게는 몇 명에서 많게는 수천, 수만명에 디른다. 김해시의 경우 ‘도로명주소 공시송달 공고’ 제목으로 고지대상자, 주민번호, 종전주소, 도로명 주소, 도로별 고시 날짜, 부여사유 등 6,950여명의 개인정보가 엑셀파일로 노출돼 있었으며, 평택시청의 경우 이름, 주민번호 앞자리와 뒷자리 1개, 종전주소, 도로명 주소, 도로명 고시일, 부여사유 등 1,360여명의 개인정보가 노출됐다.

서귀포시에서는 이름, 주민번호 앞자리 및 뒷자리 1개 등 6,019명의 개인정보가, 전주시에서는 지난 2011년 7월 4일에 등록된 것으로 보이는 이름, 주민번호 앞자리 및 뒷자리 한개 등 8,835명의 개인정보가 노출됐다.       

이와 관련 한 개인정보보호 전문가는 “공시송달의 경우 상대방 주소를 모르거나 수령을 안 하는 경우에 노출되는 것이기 때문에 법 위반이 되진 않지만 악용될 소지가 높다”며 “주민번호 사용을 금지하고 있어 생년월일을 사용하고 있지만 성명, 주소, 생년월일만 매칭되면 누군지 식별할 수 있어 위험성이 크다”며 우려했다. 즉, 매칭을 통해 다른 추가정보를 알아낼 수 있다는 것.

실제 지난 24일에는 은행을 사칭해서 도로명주소 변경을 핑계로 주민번호 뒷자리와 비밀번호를 탈취하는 보이스피싱이 확산됐다는 점도 이를 추측케 하고 있다.

이와 관련 그는 “잊혀질 권리 사례와 비춰보면 과거의 재산 압류 사실을 언론사 사이트에서 지우지 않아 구글 검색으로 노출된 사례가 있는데, 이러한 공시송달의 경우도 개인의 권리로서 보호되어야 하는 측면이 있음에도 충분히 악용될 수 있다”고 지적했다.

법무법인 민후의 김경환 대표 변호사는 “공시송달의 경우 위법은 아니지만, 범죄수단으로 악용될 수 있기 때문에 일정한 기간내 목적을 달성하면 삭제조치되어야 한다”며 “목적 달성을 위한 통상적인 기간이 지나면 개인정보를 삭제해야 한다”고 당부했다.


이와 관련 한 보안전문가는 “개인정보 유출사건이 갈수록 심각해지고 있는 상황에서 도로명주소 공시송달 제도의 경우 법 적용에 문제가 있는 것 같다”며 “구글에 해당 자료에 대한 삭제요청을 취해야 한다”고 제시했다.

이번 사안과 관련해 행정자치부 개인정보보호과 조성환 과장은 “공시송달이라도 이름 전부룰 포함해 주민번호, 주소 등 개인정보가 공개되어 있다면 문제가 될 수 있다”며 “본인확인에 있어 최소수집 원칙에 합당한지 우선 위법성 여부를 확인해서 점검 또는 단속에 나서고, 관련 기관에 통보할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>