방송통신위원회(이하 방통위)는 2017년 10월 12일 지리정보업체 로드피아에 해킹에 따른 개인정보보호조치 미비로 1500만원, 유출신고 지연으로 1500만원 등 총 3000만원의 과태료 부과 및 시정명령을 내렸다. 로드피아는 당시 과태료를 부과 받은 사업자 10곳 중 가장 강도 높은 처분을 받았다.
방통위는 3개월쯤 지난 1월 24일 콘텔라, 텔레나브코리아, 로드피아, 디엠엑스 등 4개 업체를 신규 위치정보사업자로 허가했다. 그런데 여기에 개인정보보호에 취약점이 있고, 유출 사실을 알고도 신고를 고의로 지연한 로드피아가 허가 대상에 포함됐다.
국내에서 위치정보사업을 하려면 방통위의 허가를 받아야한다. 재무·영업·기술 분야 전문가 9명으로 구성된 심사위원단이 사업계획의 타당성 및 회사의 재정적·기술적 능력, 위치정보 보호조치의 적정성 등을 심사해 평가를 내린다.
방통위 이용자정책국에 따르면 로드피아는 행정처분을 받은 후 30일 이내(2017년 11월 11일)에 시정명령 이행 결과를 방통위에 제출했다. 이후 2017년 11월 13일부터 시작한 '제4차 위치정보사업자 허가 신청' 당시 신청서를 접수했고, 심사를 거쳐 1월 24일 허가를 받았다.
위치정보사업의 적정성을 심사하는 심사위원단은 로드피아가 받은 행정처분을 알고 있었다고 한다. 하지만 심사 과정에서 로드피아의 행정처분 이력을 평가에 반영하지 않았고, 로드피아가 제출한 사업계획서만으로 최종 평가했다.
방통위 고시 2015-16호에 따라 위치정보사업허가를 받으려면 항목별로 100점 만점 기준 60점 이상을 받아야 하고, 총점은 70점 이상이어야 한다. 사항별 세부심사 기준에는 ▲위치정보사업의 건전한 발전에 대한 기여도 ▲보호 계획의 수립 및 관리 ▲개인위치정보주체의 권리보호 ▲시스템‧네트워크 보안 및 장애 대책 등이 포함된다. 로드피아가 받은 행정처분이 심사 기준에 반영됐다면 과연 허가가 가능했을지 의문이 생긴다.
방통위가 위치정보사업 심사에 소홀했던 정황은 또 있다. 이용자정책국에 따르면 로드피아가 행정처분을 받고 제출한 이행 현황에 대한 결과 평가는 6월은 돼야 끝난다. 즉, 로드피아가 시정명령을 이행했는지 확인조차 하지 않은 상태에서 방통위가 위치정보사업 허가를 내준 것이다.
방통위 측은 로드피아의 위치정보사업 심사 점수를 공개할 수 없다는 입장이다. 시정명령 이행 여부를 확인하지 않았지만, 사업계획서를 토대로 적절한 평가를 했다고 해명했다.
방통위의 이번 조치는 절차상·시기상 성급했던 것 아니냐는 비판에서 자유로울 수 없다. 방통위는 행정처분 명령을 받은 기업이 시정을 했는지 확인하는 절차를 위치 사업자 허가 심사에 넣어야 한다.
대통령 직속 4차산업혁명위원회는 최근 위치정보사업자·위치기반서비스사업자의 허가·신고 등 진입 규제 항목을 대폭 완화하는 대신 정보 유출 또는 오·남용 시 사후 책임을 강화하기로 했다. 방통위의 조치는 4차산업혁명위원회의 사후 처벌 강화 기조와도 어긋난다.