2014년 호주 브리즈번(Brisbane)에서 개최된 G20 정상 회담에 참가한 세계 정상들
의 개인 정보가 호주 이민국(Australia immigration department)의 실수로 유출되었던 사실이 뒤늦게 밝혀졌다. 사고 발생 시점으로부터 6개월 이상 지난 시점에 사고 발생 사실이 알려진 이유는, 사고 발생 당시 호주 이민국이 개인정보가 유출된 8개 국가 정상들에게 정보 유출 사실을 알리지 않았기 때문이다.
정보유출 당시의 정황은 다음과 같다. G20 정상회담에 참가한 정상의 여권번호, 비자 세부사항, 신원 관련 정보가 담긴 파일이 호주 이민국 직원의 의도와 달리 아시안컵 조직위원회 시드니지부(Sydney Asian Football Confederation)의 이메일 주소로 보내진 것이다. 개인 정보가 유출된 세계 정상은 미국의 버락 오바마(Barack Obama) 대통령, 러시아의 블라디미르 푸틴(Vladimir Putin) 대통령, 독일의 앙겔라 메르켈(Angela Merkel) 총리, 중국의 시진핑(Xi Jinping) 총리, 인도의 나렌드라 모디(Narendra Modi) 총리, 일본의 아베 신조(Abe Shinzo) 총리, 인도네시아의 조코 위도도(Joko Widodo) 대통령, 영국의 데이비드 카메론(David Cameron) 총리까지 총 8명이다.
정보 유출사고 발생 당시 호주 이민국의 비자발급 부서(visa service division)와 국경보호 부서(border protection division)는 ‘호주 개인정보 위원회(The Australia privacy commissional)’의 위원들에게 이 사실을 알렸고, 조속한 문제 해결을 위해 조언을 구한 것으로 알려졌다.
위원회의 조언을 구하기 위해 보낸 편지에는 ‘호주의 정보 자유법(freedom of Information laws)’과 함께, 호주 이민국 직원의 실수로 아시안컵 조직위원회(Asian Cup local organizing committee)의 이메일 주소로 G20 정상회담에 참가한 8명 정상의 개인정보가 보내진 경위에 대해 설명하였다. 유출된 개인 정보는 이름, 생년월일, 직위, 국적, 여권번호, 부여받은 비자번호와 정상들의 직위에 따라 구분되는 비자 항목에 대한 정보까지 포함되었다고 한다. 이번 정보 유출은 담당직원의 업무상 실수로 발생한 사고로, 마이크로소프트의 아웃룩을 이용하여 메일을 작성하던 도중에 자동완성 기능으로 채워진 받는 사람의 이메일 주소를 메일을 보내기 전 체크하지 않고 메일을 보낸 것이다. 당사자는 문제가 발생한 이후에 바로 실수를 인지하였고, 잘못된 메일을 받은 수신자에게 이 사실을 알렸다. 호주 이민국은 이번에 발생한 문제는 관리자의 단순한 업무 실수로 시스템이나 기관의 문제는 전혀 없다고 해명하였다.
호주 개인정보 위원회는 이러한 상황 설명에 대해 “다행히 정상들의 개인 정보는 공공기관 도메인으로 보내졌고, 메일 수신자가 저장하지 않은 이메일 주소의 경우에 하드디스크에 저장되지 않고 온라인 상에서 보내온 메일이 삭제되어 보안상의 문제는 발생하지 않았다. 아시안컵 지역 조직위원회도 잘못 보내온 이메일을 제3자에게 전달하거나 내용을 되살리거나, 새롭게 저장할 가능성이 없다. 따라서, 정보가 유출된 정상들에게 개인정보 유출 사실을 굳이 알릴 필요는 없다. 시스템이나 기술결함에 의한 정보 유출 위험이 매우 낮은 상황이고, 잘못 보낸 메일이 외부로 확산되지 않도록 조치하였기 때문에, 정보 유출자에게 이러한 상황을 알릴 필요성이 없다”고 조언하였다.
정보 유출 당사자에게 사고 발생 사실을 알리지 않을 것을 조언한 호주 개인정보 위원회의 조치는 해외 여러 국가들의 개인정보 관련법과 비교하면 의아하거나 허술한 업무처리로 여겨질 가능성이 있다. 특히 영국, 독일, 프랑스는 정보 유출 당사자에게 사실을 알리는 부분에 있어 호주와는 다르게 개인정보 유출 피해를 입은 당사자에게 이 사실을 알릴 것을 법으로 정하고 있다.
호주 이민국의 발표와 같이 G20 정상회의 참석 정상들의 개인정보 유출 사고가 발생하고 난 직후, 담당자가 사고 사실을 파악하였는지는 명확하지 않다. 이 사건과 관련하여 호주이민사무국의 피터 듀톤(Peter Dutton) 장관은 질의에 답하지 않았다.
호주의 노동당 부대표인 타냐 플리버섹(Tanya Plibersek) 의원은 토니 애벗(Tony Abbott) 총리에게 “총리와 이민국 장관은 G20에 참가한 정상들에게 이번에 발생한 심각한 정보유출 사건과 이후 조치들에 대해 반드시 명확하게 설명해야 한다.”고 요구하였다. 일각에서는 G20 정상회담 당시 발생한 정보유출 사건을 반년이 지난 시점에야 공개한 것에 대하여, 호주 정부가 최근 논란이 되었던 ‘데이터 강제보안유지법(mandatory data retention laws)’이 지난 주 의회를 통과한 것과 무관하지 않다는 의견도 있었다.
최근 통과된 법령은 이동통신사가 고객 관련 데이터를 2년까지 저장할 수 있도록 하는 내용이 포함되었다. 이는 기업과 정부가 관리할 수 있는 수준의 ‘개인정보 보호장치’를 만드는 것과 관련된 것으로, 호주 녹색당 상원의원인 사라 핸슨-영(Sarah Hanson-Young) 대변인은 “정부는 바로 지난주에 호주 국민들의 온라인 정보를 보호하는 시스템을 만들겠다고 했지만, 얼마지나지 않아 세계 정부 수반들의 개인정보가 유출되었다. 무능한 정부가 외교상의 심각한 결례를 범한 것이다”고 말했다. 향후 호주의 개인정보보호법과 관련된 사항이 어떻게 진행될지는 계속 지켜봐야 할 것으로 보인다.
