아세안

☐ 개인정보보호를 위한 지침 드디어 마련

◦ 인도네시아 하원, 6년 만에 개인정보보호법 법제화

- 인도네시아 하원이 날이 갈수록 심각해지는 사이버 범죄로부터 국민을 보호하기 위하여 법적 장치 마련에 나섰다. 9월 20일 인도네시아 하원(DPR, Dewan Perwakilan Rakyat Republik Indonesia)은 전원회의를 열고 개인정보보호법(PDP, Personal Data Protection)을 압도적 표차로 표결 통과시켰다. 인도네시아 하원은 2016년부터 유럽연합(EU)의 개인정보보호 법규를 참조하여 개인정보보호법 초안을 작성했고, 이후 수정을 거쳐 16개 장과 76개 조항으로 구성된 최종안을 마련한 바 있다.

- 최종안으로 마련된 인도네시아 개인정보보호법에 따르면, 대통령이 직권으로 개인정보의 수집과 유포에 관한 법규를 위반한 정보처리 담당자를 처벌할 감독기관 설치를 명령할 수 있다. 또한, 개인정보 처리 과정에서 기업의 위법 행위가 드러날 시 감독기관은 해당 기업에 연간 수익의 최대 2%까지 벌금을 부과하고, 벌금형 법 집행 과정에서 위법 행위를 저지른 기업의 자산을 몰수해 경매에 부칠 수 있다. 

- 사익을 편취(騙取)할 목적으로 개인정보를 조작한 개인은 6년 이하 징역형, 불법적으로 개인정보를 수집한 자는 징역 5년 이하의 징역형에 처할 수 있다. 한편, 개인정보 악용 범죄 피해자는 배상을 청구할 수 있고, 개인정보 사용 승낙을 철회할 수 있다. 

◦ 개인정보보호 기능 발휘할 수 있을지 기대와 우려 교차

- 인도네시아 하원 법사위원회 의원인 압둘 카리스 알마샤하리(Abdul Kharis Almasyhari)는 “개인정보보호법 통과로 국가가 국민의 개인정보보호를 보장할 수 있게 됐다”고 발언했다. 조니 플라트(Johnny G. Plate) 인도네시아 정보통신부 장관은 “민간인이든 공직자든 전자적 형태의 개인정보를 다루는 담당자는 개인정보를 보호하기 위한 시스템을 구축해야 한다”고 덧붙였다. 인도네시아 하원의원인 니코 시아하안(Nico Siahaan)은 “인도네시아의 개인정보보호법과 비슷한 법률을 가진 나라와 인도네시아 사이의 데이터 전송 절차가 간소화된다”고 설명했다. 

- 푸안 마하라니(Puan Maharani) 인도네시아 하원의장은 개인정보보호법이 통과되어 인도네시아 국민이 모든 종류의 개인정보 악용으로부터 법익을 보호받을 수 있게 될 것으로 기대되며, 정부가 개인정보보호법 관련 시행령을 조속히 마련하고 개인정보보호 업무를 담당할 감독기관을 설치하기 바란다고 밝혔다. 그리고, 푸안 마하라니 인도네시아 하원의장은 개인정보보호법이 건전한 국가 디지털 안보 환경을 조성하는 데 정부 부처, 기관, 정책 결정자들이 참고해야 할 지침으로 기능할 것이라고 강조했다. 

- 그러나, 현지 싱크탱크인 정책연구소(Institute for Policy Research and Advocacy) 소속 데이터 보호 전문가인 와유디 자파르(Wahyudi Djafar) 개인정보보호법에 규정된 처벌이 정부기관으로 하여금 데이터 처리를 개선하게 할 만큼 무거운지 의구심이 든다고 꼬집었다. 또한, 개인정보보호법은 2년 동안의 계도기간(adjustment period)를 갖고 시행되지만, 이 기간에 발생한 위법 행위를 어떻게 다룰지는 명시하지 않아 앞으로 법 시행 과정에서 혼선이 빚어질 것으로 보인다.

☐ 구멍 뚫린 데이터 보안에 경각심 제고 

◦ 초대형 개인정보 유출 사건 발생

- 지난 8월 말 인도네시아에서는 해커 공격에 일반 국민은 물론이고 대통령의 개인정보까지 유출되는 초대형 데이터 보안 사고가 발생해 전국이 발칵 뒤집혔다. 이에, 조코 위도도(Joko Widodo) 인도네시아 대통령까지 직접 나서 개인정보 대량유출 사건을 수사하기 위한 데이터보호 태스크포스(task force) 구성을 명령했다. 해커들의 인터넷 커뮤니티인 브리치포럼(BreachForums)에서 폴란드 바르샤바(Warsaw)에 거주하는 것으로 추정되는 뵤르카(Bjorka)라는 가명을 사용하는 해커가 인도네시아 국민의 모바일폰 전화번호 13억 개와 1억 500만 유권자 정보, 그리고 대통령의 서신일지까지 유출하면서 파문이 일었다. 

- 인도네시아 수사당국은 뵤르카라는 해커가 인도네시아 국영회사와 이동통신사, 선거관리위원회에서 데이터를 훔쳐 이를 매도했으며, 해커가 유출한 데이터 중에는 인도네시아 국가정보원(State Intelligence Agency)의 기밀문서 출납 일지와 같은 비밀문건까지 포함되어 있어 충격을 더했다. 또한, 해커는 부총리급 인사인 루훗 판자이탄(Luhut Pandjaitan) 인도네시아 해양·투자 조정장관과 조니 플라트 인도네시아 정보통신부 장관과 같은 고위 공직자들의 전화번호, 주민등록번호, 코로나19 백신접종 일련번호 등이 포함된 개인정보까지 폭로했다. 

◦ 허술한 데이터 보안 개선 시급

- 인도네시아의 데이터 보안이 허술하다는 지적이 국내외 전문가들로부터 끊임없이 제기되고 있다. 온라인 매체 아시아타임스(Asia Times) 보도에 따르면, 주요 다국적 기술 기업의 임원들은 인도네시아 수도 자카르타(Jakarta)의 중심 상업 지구에 위치한 데이터 센터의 보안 수준이 국제적 수준에 부합하지 않는다고 지적한다.

- 인도네시아 국가사이버암호청(BSSN, Indonesia’s National Cyber and Encryption Agency)은 2020년 1~2월 사이 8,840만 건에 달했던 사이버 공격 횟수가 2020년 말에는 4억 2,340만 건으로 급증했다고 시인하기도 했다. BSSN에 따르면, 2021년 비정상적인 트래픽 공격(traffic anomalies) 건수는 16억 회에 달했고 이 중에서 62%는 트로얀(trojan) 바이러스나 피싱(phising) 등 악성웨어(malware) 공격이었다. 9월 10일 해커 뵤르카(Bjorka)도 트위터(Twitter)에서 “인도네시아의 형편없는 데이터 보안 장벽을 돌파하기가 얼마나 쉬운지 보여주고 싶었다”는 메시지를 남겨 인도네시아 당국을 난처하게 만들었다.

< 감수 : 장준영 한국외국어대학교 교수 >

* 참고자료

Asia Times, Why cyber hackers have such big eyes for Indonesia, 2022.09.23.

Reuters, Indonesia parliament passes long-awaited data protection bill, 2022.09.21.

Antara, Personal Data Protection bill ratified on September 20: House Speaker, 2022.09.19.

The Straits Times, Indonesia hunts for Bjorka, hacker selling 1.3b SIM card users' data, taunting officials, 2022.09.18.

[관련 정보]

1. 인도네시아 하원, 개인정보보호법 통과... 9월 21일부터 발효 (2022.09.21)

2. 인도네시아, 사상 초유의 해커 공격에 개인정보 대량유출 (2022.09.20)