스마트폰 애플리케이션(앱 · 응용프로그램)을 이용해 개인정보를 무단으로 수집한 업체가 처음으로 검찰 수사를 받고 기소됐다. 유출된 개인정보는 8만여건에 달했고 해당 정보를 이용해 '짝퉁폰'을 만들 수 있어 피해가 우려된다. 더욱이 해당 업체가 형사처벌을 받아도 수집된 정보를 삭제할 법적 근거가 없어 보완책이 필요한 것으로 지적되고 있다.


◆개인정보 8만3000여건 무단 수집

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 27일 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)' 위반 혐의로 스마트폰 앱 '증권통' 서비스업체인 이토마토의 남모 부사장과 남씨의 의뢰를 받아 해당 앱을 개발한 세마포어솔루션 대표 이모씨를 불구속 기소했다. 검찰은 또 양벌규정에 따라 법인인 이토마토와 세마포어솔루션도 함께 기소했다.

검찰에 따르면 남씨 등은 지난 3월부터 8월까지 스마트폰 사용자 8만3416명에게 '증권통'을 배포했다. 이후 해당 앱을 통해 무단으로 국제단말기인증번호(IMEI)와 범용가입자식별모듈(USIM) 시리얼번호 8만2413건 및 휴대폰 번호 1003건을 수집했다. 사용자 전체의 인증번호와 고유번호를 파악한 셈이다.

IMEI는 휴대폰 기기 고유번호이며 USIM 시리얼번호는 사용자 개인식별 정보 등이 들어있는 USIM 카드의 일련번호다. 세계적으로 1개 휴대폰에 1개의 번호만 할당된다. 해당 번호만을 알아서는 사용자가 누구인지 알 수 없지만 통신사 정보와 결합되면 알 수 있다. 이 때문에 정보통신망법은 상대방 동의 없이는 수집할 수 없는 '개인정보'로 분류하고 있다.

증권통은 설치 때 사용자들의 스마트폰으로부터 IMEI 등 정보를 읽어와 별도 서버에 저장한 다음 재접속 때 저장된 개인정보와 대조해 동일인인지 식별할 수 있다. 문제는 회사 측이 사용자에게 '개인정보를 저장하고 수집한다'는 고지를 하거나 동의를 받은 사실이 전혀 없다는 것이다.

◆범죄용 대포폰 개통에 악용 우려

이토마토는 "회사가 수집한 정보를 악용한 사례가 전혀 없고 통신사 정보를 가지고 있지도 않아 다른 정보와 결합해 사용자를 특정할 수도 없다"는 입장이다. 검찰은 그러나 해당 정보들이 다른 범죄에 이용될 가능성이 높은 것으로 우려했다. 검찰 관계자는"이토마토가 개인정보를 수집하거나 관리하면서 암호화를 하지 않아 해킹에 무방비 상태"라고 말했다.

검찰에 따르면 2G폰의 경우 타인의 IMEI를 알면 타인의 분실 · 도난된 휴대폰을 복제해 새로 개통된 같은 번호의 휴대폰을 감청할 수 있고,중국 등지에서 유입된 대포폰을 개통하는 데 사용될 수 있다. 검찰 관계자는 "하나의 IMEI로 두 개의 전화번호를 사용할 수 있어 해당 IMEI 사용자 모르게 범죄용 대포폰을 개통할 수 있다"며 "IMEI 등 정보를 통해 해당 사용자의 관심 종목을 훔쳐볼 수도 있다"고 밝혔다.

더욱이 검찰에 따르면 이번 기소에도 불구하고 이토마토가 수집한 개인정보는 해당 서버에 남아 있다.

검찰 관계자는 "법원에서 유죄가 확정돼도 해당 정보를 삭제토록 할 법적 근거가 없다"며 "정보가 유출된 피해자들이 민사소송을 통해 배상을 받는 정도가 가능할 것"이라고 설명했다. 이토마토는 "스마트폰 앱을 기소한 것은 세계적으로 유례가 없어 법정에서 무죄를 다툴 것"이라고 밝혔다.

임도원 기자 van7691@hankyung.com