지난 6월 26일 행정안전부(장관 김부겸, 이하 행안부)는「개인정보 보호법」위반기관 192개 중 가벼운 사안은 제외하고 법 위반의 정도가 큰 20개 기관을 선정하여 기관명과 처분 내역을 공표했다. 문제는 명단에 우리 대학도 포함돼 있었다는 것이다. 본지는 이에 대한 자세한 내용과 더불어 학교 측의 답변을 들어봤다.
「개인정보 보호법」위반 대학 6개 中 우리 대학 있어···
지난 6월 26일 행안부는 「개인정보 보호법」 위반기관을 적극적으로 공개한다는 원칙에 따라 ‘개인정보 보호법 위반 행정처분 결과’를 공표했다. 이는 지난해 8월부터 올해 3월까지 행정처분을 받은 192개 기관 중 개선권고 및 시정조치 대상인 경미한 사안은 제외하고, 법 위반의 정도가 큰 침해사범*에 대하여 개인정보보호위원회의 심의 · 의결을 거쳐 결정한 결과다. 우리 대학은 개인정보 보호법 제21조 제1항(개인정보 파기 미이행)과 제29조(개인정보 안전성 확보조치 위반)를 사유로 각각 600만 원의 과태료를 부과받아 총금액 1,200만 원으로 침해사범 명단에 포함됐다. 우리 대학 외에도 △인천대학교 △성결대학교 △상지대학교 △광주대학교 △가톨릭대학교가 적발돼 모두 다른 사유로 각각 1,200만 원의 과태료가 부과됐다. 이는 모두 행안부가 진행한 현장방문을 통한 점검에서 적발된 결과다. 이 소식을 접한 박건하(영문 16) 학우는 “개인정보 유출은 사회적으로도 심각한 문제인데, 학교에서조차 이런 문제가 있으리라고는 예상하지 못했다”며 “정보 보안에 대한 문제를 심각하게 여기지 않아 적발된 것 같아서 아쉽고, 이는 반드시 개선해야 할 것 같다”고 비판했다.
* 10만 건 이상 유출 사고 발생, 1천만 원 이상 과태료 부과, 3년 이내 과징금 · 과태료 · 시정조치 2회 이상, 법 위반 상태 6개월 이상 지속, 법 위반 행위 은폐 · 조작 등
제21조 제1항(개인정보 파기 미이행)
행안부는 지난해 9월 20일, 우리 대학 인문캠 기숙사의 ‘입사와 무관한 정보(5,668건) 수집 및 퇴사 후 3년이 지난 정보(2,875건) 미파기’가 「개인정보 보호법」 제21조 제1항을 위반한다고 판단해 과태료를 부과했다. 여기서 무관한 정보란 외부 업체에 인문캠 사생 관련 정보를 넘길 때, 생활관을 이용하지 않는 다른 인문캠 학우들의 정보까지 넘겨줌을 뜻한다. 이에 인문생활관 측은 “이전에는 외부 업체가 사이트를 관리하고 있었다. 하지만 이러한 일이 발생한 후 해당 업체와 계약을 해지하고 불필요한 개인정보를 파쇄했으며, 개인정보에 관하여 미흡했던 점들을 컨설팅받아 개선했다”고 밝혔다.
제29조(개인정보 안전성 확보조치 위반)
개인정보 파기 미이행 경우와 달리, 제29조와 관련된 위반사항은 무려 4가지다. 제29조는 안전조치의무로, 이를 위반했다는 것은 학교가 구성원들의 정보를 보호하는 데 미흡했음을 의미한다. 자연캠 정보지원팀 측은 “첫 번째 사항부터 말하자면, 관리자 컴퓨터는 인터넷 등 외부 연결망에 연결이 되면 안 된다. 허나 이를 어긴 것이고, 네 번째 사항은 앞서 이야기한 관리자 컴퓨터뿐만 아니라 다른 개인정보가 있는 컴퓨터도 USB등의 장치를 활용하면 안 되는데 그러지 못한 것이다”라고 말했다. 또한, 두 번째 사항에 대해서는 “인문생활관 사이트는 암호화 알고리듬을 설정했지만 과학기술정보통신부에서 규정하지 않는 형태의 암호화 알고리듬을 사용해 적발된 것이다”라고 밝혔다. 안전성 확보조치 위반이 적발된 이후 인문생활관 신청은 기존 사이트에서 MyIWeb으로 이전됐다. 그러나 적발된 기존 사이트는 계속 운영 중이다. 이에 인문생활관 측은 “외부 업체와의 계약 해지 후, 해당 도메인을 학교 서버로 이전하여 현재도 활용하고 있다. 기숙사 신청은 학교 서버로 넘어왔기에 MyIWeb으로 신청가능하다”고 개선점을 말했다. 이에 대해 고강현(미사 17) 학우는 “학교에서 개인정보를 안일하게 관리했기에 이에 대한 처벌은 당연히 이뤄져야 한다”며 “인문캠 기숙사가 외주임은 알고있었지만, 개인정보까지 외부 업체가 관리할 줄 몰랐다”고 전했다.
보안불감증, 정보보안 단계는 오히려 상승?
개인정보 보호법 위반으로 우리 대학이 과태료 조치를 받은 것은 지난해 9월 20일이다. 하지만 지난해 10월 16일에 최종 확인 및 등록 돼있는 대학알리미의 ‘정보보안 및 개인정보보호 수준 진단’은 2016년 10월 13일자에 확인된 정보보안 부분 보통 등급에서 오히려 상승한 우수 등급을 받았다. 대학알리미 진단 방식에 대해 자연캠 정보지원팀 측은 “교육부에서 관련 검사표가 내려오면 이를 기반으로 자체진단을 하고, 교육부 측에 전달한다”며 “또 전달한 내용에서 교육부가 이상하게 여겨지는 부분이 있으면 현장방문을 하는 식이다. 이번 적발은 행안부에서 개인정보에 한정해 굉장히 세밀하게 검사를 했기에, 교육부의 등급과는 관련이 없다”고 밝혔다. 또한, 등급 상승에 대한 질문에는 “등급은 점수별로 커트를 정해두는 것이 아니라, 각 학교들의 상태에 따라 다르게 정해지는 것이기에 작년과 올해가 같은 80점이라고 가정해도, 타 학교의 결과에 따라 이것이 우수가 될 수도 미흡이 될 수도 있다”고 밝혔다.
