[단독] 열화상 체온 측정기에 찍힌 내 얼굴·음성 새나갔나

입력2021.05.13. 오전 5:07

수정2021.05.13. 오전 7:09

기사원문

공감

성별

말하기 속도

이동 통신망을 이용하여 음성을 재생하면 별도의 데이터 통화료가 부과될 수 있습니다.

일부 중국산 제품서 전송 기능 발견

코로나19 이후 다수의 시설에서는 열화상 카메라를 이용해 출입자들의 체온을 모니터링하고 있다. 이 사진은 아래 기사와 직접적인 연관이 없음. 게티이미지뱅크.

코로나19 방역 차원에서 건물·사무실·매장 입구에 설치·운영 중인 일부 열화상 카메라 체온측정기(이하 체온측정기)에 측정 대상자의 얼굴 모습과 음성 정보를 수집해 외부로 전송하는 기능이 포함돼 있는 것으로 확인됐다. 원격 조종 프로그램을 이용해 체온측정기를 폐쇄회로텔레비전(CCTV)처럼 활용할 수도 있다. 본인 동의 없이 얼굴·음성 정보 수집·제공·활용을 금지한 현행 개인정보보호법 위반 소지가 클 뿐 아니라, 기업·정부기관의 보안에도 구멍이 뚫렸다는 우려가 나온다. 해당 기능을 비활성화했다면 법 위반이나 정보 유출 등의 우려는 줄어든다.

■ 내 얼굴 정보 중국에 넘어갈 수도?

11일 <한겨레>가 열화상 카메라 체온측정기 오남용 문제를 감시해온 시민단체 환경감시국민운동본부를 통해 입수한 ‘열화상 체온측정기의 통신여부 조사자료’를 보면, 시중에 널리 판매된 체온측정기 제품에서 측정 대상자의 얼굴·음성 정보를 수집하고 해당 정보를 암호화한 형태로 외부와 데이터통신을 하는 기능이 발견됐다. 특히 측정기에 설정된 데이터통신 종착지는 중국·미국 소재의 인터넷주소(IP) 시스템(컴퓨터)였다. 하루 평균 400MB까지 송출이 가능했다. 과거 저장장치로 널리 쓰였던 컴팩트디스크(CD) 한 장의 크기로, 최대 수백명의 정지화상이나 짧은 영상이 압축저장된 용량으로 풀이된다.

<한겨레>가 입수한 자료는 경기도 부천에 위치한 한 정보기술(IT)업체 기술연구소의 내부 문건이다. 회사명과 이름을 밝히지 말 것을 요청한 이 업체 대표는 <한겨레>에 “‘열화상 카메라 체온측정기는 안면 체온을 측정해 승인 여부를 결정하기만 하면 되는데 왜 얼굴·음성 정보 수집과 통신 기능을 갖고 있을까?’란 의문을 갖고 기술연구소를 통해 분석했다”고 그간의 경과를 설명했다. 그는 “개인정보보호위원회와 한국정보보호진흥원 등이 요청하면 분석 자료를 제공하고 시연해줄 뜻도 있다”고 덧붙였다.

시연에 사용된 열화상 카메라 체온측정기 제품 속 기판 모습

열화상 체온측정기 회로 기판에 통신용 칩이 달려 있는 모습

트래픽 분석 프로그램(와이어샤크)을 사용해 열화상 체온측정기와 외부 서버와의 트래픽을 모니터링한 결과

이 업체 기술연구소는 지난 6일 부천 사업장에서 <한겨레>에 그동안의 분석 과정과 결과를 직접 시연해보였다. 시연은 인기 열화상 카메라 체온측정기로 알려진 ㅌ사(수입사)의 ㅇ제품(제조지: 중국)으로 진행됐다. 온라인쇼핑몰에서 100만원대 중반대가격에 구입할 수 있는 제품이다. 운영체제(OS)는 ‘안드로이드 7.1.2’, 안면 체온측정 프로그램은 ‘와이비페이스’(YBFace)이다. 기판에 통신 칩이 달렸고, 트래픽 분석 프로그램(와이어샤크)을 이용한 모니터링 화면에선 외부 접속을 시도하는 모습이 잡혔다. 방화벽 시스템(파이어월-드래프트)을 이용한 트래픽 추적에선 중국·미국 내 인터넷주소를 가진 서버(컴퓨터)와 연결돼 데이터를 주고받는 것으로 나타났다.

■ 체온계는 고성능 CCTV?…반경 30m 대화도 포착

이 체온측정기는 시시티브이처럼 활용될 수도 있었다. 기술연구소의 한 팀장이 스마트폰의 원격 조종 프로그램 앱을 실행하자 카메라에 잡힌 영상이 보이고 음성도 들렸다. 이 업체 기술연구소 이사는 “서울의 한 건물에서 사용 중인 제품을 구해 한달 반 가량 운용하며 분석했다. 잡음 제거 프로그램을 더했더니 반경 30m 내 대화 내용을 선명하게 들을 수 있었다”고 말했다. 그는 “보안 및 개인정보·사생활 보호 차원에서는 절대 사용하면 안되는 기기로 보인다”고 덧붙였다

방화벽 시스템(파이어월-드래프트)을 이용해 트래픽을 추적한 화면 갈무리. 중국·미국 내 시스템에 연결돼 데이터 송수신이 이뤄지는 모습을 보여준다. 하루 평균 400MB 분량의 데이터가 암호화 상태로 송출되는 것으로 나타났다.

특히 이 업체 대표는 “중국에 위치한 것으로 보이는 서버로 하루 400MB 분량의 데이터가 송출되는데, 국내 기술로는 풀기 어려운 암호가 걸려 있다”고 언급했다. 그는 이어 “체온측정기의 아이피 주소를 분석하면 해당 기기가 어디에 설치돼 사용 중인지까지도 확인할 수 있다. 악용하면 대기업과 정부기관 등 중요 시설에 설치된 체온측정기 위치를 파악한 뒤 해킹을 통해 원격 조종 프로그램을 심어 시시티브이처럼 활용하는 방식으로 누가 출입했는지를 파악하는 것도 가능해 보인다”고 덧붙였다.

열화상 카메라 체온측정기 가운데 일부 모델이 카메라에 잡힌 대상자의 얼굴 영상을 수집해 저장하는 사실은 지난해 11월 개인정보위원회 실태조사에서 확인된 바 있다. 하지만 데이터를 국외로 송출하는 기능까지 포함된 사실은 이번에 처음 확인됐다. 이 업체 대표는 “다른 업체 체온측정기 제품에도 이런 기능이 포함돼 있을 가능성이 있다. 개인정보위나 한국정보보호진흥원 등의 실태점검이 필요해보인다”고 지적했다.

■ 실태는 깜깜이…정부 “의료기기 아니다”

문제가 된 카메라 제품이 국내에 얼마나 확산되어 있는지는 파악하기 어렵다. 관리 감독이 체계적으로 이뤄지지 않은 터라, 관련 통계 자체가 존재하지 않아서다. 다만 지난해 3월 코로나19 확산이 본격화된 이후 민간 기업은 물론 정부 기관도 방역 자구책 차원에서 이 제품이나 유사 제품이 널리 도입했을 가능성은 높다. 이런 제품들은 국내 중소기업 50여곳을 통해 국내 판매되고 있다. 핵심 부품 등은 중국에서 제조된다.

의료기기용 체온계를 생산하는 한 업체 대표는 <한겨레>와 통화에서 “국산이라고 하는 것들도 대부분 메인 보드와 안면 체온측정 프로그램 등 핵심 내용물은 중국산인 경우가 많다. 아예 중국산 제품을 사다가 사용법을 한글화하고 외부 디자인과 거치대만 바꾼 뒤 새로운 상표를 붙여 국산으로 둔갑시키는 경우도 많다”고 말했다.

지난해 9월 식품의약안전처는 이런 종류의 카메라는 의료기기가 아니며 당국의 심사를 받는 체온계도 아니라고 밝힌 바 있다. 감염 증상을 확인할 수 있는 기기가 아니란 뜻이다. 실제 이 제품들은 ‘방송통신기자재’로 수입되고 있다. 유사 제품을 수입 판매 하는 한 업체의 대표는 “중국업체로부터 1천대 이상 구입 조건으로 대당 10여만원에 주겠다는 제의까지 받았다”며 “이렇게 들여온 제품이 국내에서는 대당 150만~300만원선에 판매되고 있다”고 밝혔다.

김재섭 선임기자 jskim@hani.co.kr

설치·운영자가 처벌 대상

얼굴·음성 정보는 개인을 식별할 수 있어 개인정보로 분류된다. 현행 개인정보보호법은 개인정보를 수집하려면 다른 법에 특별한 규정이 없는 한 반드시 본인의 사전 동의를 받도록 정하고 있다. 동의 없는 개인정보 수집은 처벌 대상이 된다는 뜻이다.

기업·정부기관과 다중이용시설 등이 코로나19 방역을 위해 건물·사무실·매장 입구에 열화상 카메라 체온측정기를 설치·운용할 때도 마찬가지다. 측정 대상자의 사전 동의 없이 얼굴·음성 정보를 외부 유출하는 것은 물론 수집·저장하는 행위도 금지된다. 출입자들로부터 개인정보 침해와 사생활 유출에 대한 집단 손해배상 소송을 당할 수도 있다. 처벌 대상은 카메라 제조사 혹은 판매사가 아닌 ‘설치·운용자’다.

개인정보보호위원회가 지난해 11월5일 발표한 ‘열화상 카메라 운영에 대한 개인정보보호 수칙’에 이런 내용이 잘 담겨 있다. 당시 개인정보위는 서울 소재 주요 시설의 열화상 카메라 설치·운영 현황을 비공개로 실태점검한 사실을 공개하며, “주요시설의 열화상 카메라 일부가 촬영 대상자의 얼굴이 포함된 영상을 저장하고 있는 것으로 확인됐다”고 밝힌 바 있다.

해당 수칙에 따르면, 발열 증상 여부를 확인할 목적으로 카메라를 ‘설치·운영하는 자’(이하 운영자)는 얼굴 영상 등 개인정보를 저장·관리‧전송해서는 안된다. 카메라에 탑재된 얼굴 영상 정보 저장·전송 등의 기능은 비활성화시켜야 한다. 문제의 기능을 비활성화할 수 없는 카메라는 1일 1회 이상 저장된 정보를 운영자는 파기해야 한다. 원칙적으로 카메라 촬영은 발열 확인 용도로만 써야한다는 취지다.

정보주체의 사전 동의를 받은 경우에도 최소한의 개인정보만 수집하고, 보안 프로그램 등을 사용해 제3자가 카메라 또는 관리 프로그램 등에 접근해 무단으로 열람·유출하지 못하도록 하는 등의 안전조치를 운영자는 마련해야 한다. 오남용 및 유출 방지를 위한 기술·관리·물리적 안전 조치도 취해야 한다.

동의없이 자신의 얼굴 정보 등이 저장된 사실을 알게 된 측정 대상자는 해당 정보의 파기를 운영자에 요구할 수 있다. 개인정보침해신고센터(국번없이 118) 등에 신고할 수 있다. 인터넷 누리집(privacy.kisa.or.kr)이나 전자우편(118@kisa.or.kr)을 활용해 신고할 수도 있다.

열화상 카메라 체온측정기 판매·설치 사업자는 운영자가 개인정보 보호 수칙을 준수하는데 필요한 기능 설정 안내 및 기술적 지원 요청에 협조해야 한다. 카메라의 영상 저장·전송 기능 비활성화(끄기), 저장된 영상의 삭제 및 영상정보의 보호를 위한 안전조치 이행 방법 등을 지원해야 한다.

김재섭 선임기자 jskim@hani.co.kr

▶더불어 행복한 세상을 만드는 언론, 한겨레 구독하세요!
▶부동산정책 기사 보기 ▶코로나19 기사 보기

[ⓒ한겨레신문 : 무단전재 및 재배포 금지]

김재섭(jskim@hani.co.kr)

이 기사는 언론사에서 IT 섹션으로 분류했습니다.

기사 섹션 분류 안내

기사의 섹션 정보는 해당 언론사의 분류를 따르고 있습니다. 언론사는 개별 기사를 2개 이상 섹션으로 중복 분류할 수 있습니다.

닫기