"이름하고 전화번호 적는 건 왠지 꺼림칙해서요. 이 카페에 오는 사람들이 마음만 먹으면 볼 수 있잖아요. QR코드가 편해요."
9일 오후 경기도의 한 카페에서 만난 A씨는 주문하기 전에, 자연스럽게 휴대폰을 열고 QR코드를 찍었다. 정부가 수도권에서 8월 30일부터 이른바 '사회적 거리두기 2.5단계'를 시행한 이후 식당이나 카페 등 다중이용시설에 가면 출입명부나 QR코드 인증을 해야 한다.
QR코드는 격자무늬가 특징인 '이차원 바코드'다. QR코드 전자출입명부는 시설 이용자가 개인 핸드폰으로 QR코드를 발급받아 시설에 제시하면 시설에서 QR코드를 인식해 방문 기록을 만드는 방식이다.
기존에는 고위험시설이나 다중위험시설로 분류된 사업장을 위주로 출입자 명부 작성이 시행됐지만, 현재는 대부분의 일반음식점·휴게음식점·제과점 등의 출입자 명부 작성이 의무화됐다. 코로나19로 인해 개인정보를 수시로 제공해야 하는 셈이다. 그렇다면 나의 정보는 안전하게 보호되고 있을까?
<오마이뉴스>는 QR코드와 수기명부를 통해 수집된 개인정보가 어떻게 관리되는지 확인해봤다.
"QR코드, 현재 가장 안전한 방식"
먼저, QR코드는 사업자와 이용자 모두 사전 준비가 필요하다. 사업자가 전용 리더기를 살 필요는 없다. 자신의 스마트폰에 전자출입명부 앱을 설치하면 된다. 와이파이 연결이 가능하다면, 공기계를 사용할 수도 있다. 이후 앱을 켜고 사업자 신규 등록을 진행한다. 상호·사업자등록번호·대표자 이름·대표자 전화번호·업종·관할지역·시설 주소 입력하고, 사업자 등록증 사진을 등록해야 한다. 스마트폰을 통해 사업주 본인을 인증하고 회원가입을 하면, 설치가 마무리된다.
이용자의 사용방법 역시 어렵지 않다. 카카오톡, 네이버, 패스(PASS)앱 중 하나를 선택해 인증하면 된다. 3가지 앱 모두 QR체크인 버튼을 누를 때마다 '개인정보 수집 동의'를 해야 한다. 처음 QR체크인 기능을 사용할 때는 이름·전화번호 등을 입력하는 본인 인증 절차를 거친다. 이후 한 달간은 추가 인증 없이 쓸 수 있다.
이후 내 정보는 어떻게 관리될까. QR코드는 발급 시 15초간만 유효하다. 사용자나 타인이 사진으로 저장하여 재사용할 수 없다. QR코드 관련 개인정보는 4주 뒤 자동파기 된다. 코로나19 확진자의 방문이 확인된 시설에 역학조사가 필요할 때만 방역 당국에 개인정보가 전달된다.
전문가들은 "지금으로서는 QR코드가 개인정보 보호에 제일 안전하다"라고 말했다. 김승주 고려대 정보보호대학원 교수는 10일 <오마이뉴스>와의 통화에서 "QR코드를 통해 들어오는 개인 정보는 기업과 정부가 나눠서 보관한다"라면서 "일반 시민들은 QR코드를 불편하게 느낄 수도 있지만, 현시점에서 가장 안전한 방식"이라고 말했다.
김 교수의 말처럼 현재 정부기관과 기업이 QR코드를 관리한다. QR코드를 스캔하면 ▲방문장소 ▲이름 ▲전화번호 ▲방문일시가 저장된다. 카카오톡 등 QR코드 서비스 기업과 한국사회보장정보원(보건복지부 산하 준정부기관)에 분리 보관된다. 기업은 방문자의 '이름과 전화번호'를 정부기관은 '방문한 장소와 일시'를 관리하는 셈이다. 기업과 정부기관은 일부의 데이터만 갖는 데다 QR코드도 암호화 저장되기 때문에 이를 악용하긴 어렵다.
이 정보를 활용할 수 있는 건 지난 8일 승격한 질병관리청(구 질병관리본부) 뿐이다. 확진자 발생 및 역학조사가 필요할 때 사용한다. 수집된 정보는 코로나19 잠복기(14일, 2주)의 최대 2배인 4주 후 자동으로 폐기해야 한다.
수기명부, 파기 여부 '확인 어려워'
문제는 수기명부다. 9일 오후에 찾은 서울의 한 음식점에는 별도 QR코드 리더기가 설치되지 않았다. 사장 B씨는 "사실 QR코드랑 수기명부 손님이 원하는 방식을 할 수 있다"라면서도 "그런데 QR코드를 하겠다는 손님은 200명 중 한 명 정도"라고 말했다. 이어 "워낙 어르신 손님이 많아서 그럴지도 모르는데, 이분들은 QR코드를 어려워해 수기명부만 배치했다"라고 설명했다.
수기명부를 이용할 때의 방문자는 일시와 시각, 이름과 전화번호를 적어야 한다. 사업자는 방문자의 신분증을 확인해야 한다. 방문자가 허위 내용을 작성할 가능성이 있기 때문이다. 지난 5월 이태원 클럽의 집단감염은 방문자들이 명부에 정보를 허위로 기재해 접촉자 동선을 파악하는 데 어려움을 겪었다.
방문자 중에는 수기명부의 개인정보 노출을 우려하기도 한다. 앞서 카페에서 만난 손님 A씨는 "친구 중에 카페 수기명부에 있는 연락처를 보고 아르바이트생이 관심 있다는 연락을 받았다는 말을 들었다"라면서 "방문자 모두 내 연락처를 쉽게 알 수 있다는 생각이 들어 그날 이후 수기명부는 안 쓴다"라고 말했다.
보건복지부의 '수기명부 비치 및 관리 세칙'에 따르면 명부 작성 시 타인의 개인정보는 볼 수 없게 하고, 수기명부는 잠금장치가 있는 장소에 보관해야 한다. 하지만 기자가 9일 방문한 카페와 음식점 모두 이를 소홀히 했다. 음식점 사장 B씨는 "사실 분쇄나 소각까지는 하지 못하고, 4주가 지나면 모아서 버리고 있다"라고 말했다.
수기명부로 작성된 개인정보는 보통 사업자가 4주 후, 수기명부를 파쇄하거나 소각하는 게 원칙이다. 폐기 조치를 불이행하면 300만 원 이하의 벌금을 내고, 개인정보를 유출할 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금을 내야 한다.
하지만 수기명부 파쇄나 소각 여부를 일일이 확인할 수는 없다. 서울 강동구청 관계자는 10일 <오마이뉴스>와의 통화에서 "개인정보보호 관리를 어떻게 하고 있는지 공무원들이 구역별로 매일 현장 확인하고 있다"라면서 "(수기명부를) 제대로 파기했는지 여부는 별도 확인하지 않는다. 그럴 여력이 없다"라고 말했다.
정부 역시 코로나19 방역 조치로 민감한 개인정보들이 악용되지 않도록 대응방안을 모색하고 있다. 윤종인 개인정보보호위원회 위원장은 9일 열린 제3회 개인정보보호위원회 회의에서 "개인정보보호 강화대책을 중대본에 보고하고 발표할 예정"이라며 "방역을 위한 개인정보 처리와 관련해 국민들의 우려를 해소하기 위해 방역당국과 함께 개인정보 처리실태를 점검했다"라고 밝혔다. 10일 개인정보보호 위원회는 코로나19 방역 관련 개인정보보호 대책을 발표한다.