불필요한 주민번호 수집 등 8개기관 보안문제 78건 발견
국민의 신상 정보들이 공공기관을 통해 줄줄이 샐 위험에 노출돼 있다.
특히 세금납부 기록이나 건강보험사용 기록 등 민감한 개인정보가 외부로 나갈 경우 민간기업에서의 정보유출 사태보다 훨씬 큰 파문이 예상된다.
동아일보가 26일 단독 입수한 ‘2008년도 공공기관 개인정보 영향평가 결과’ 요약보고서에 따르면 지난해 한국정보보호진흥원(KISA)이 8개 공공기관을 대상으로 조사한 결과 보안조치상 문제점이 78건이나 발견됐다.
기관별로 적게는 3건에서 많게는 18건까지 지적사항이 나왔다
예를 들어 국민의 개인정보를 관리하는 A공공기관은 정보기술(IT) 업체 직원 등 외부인력에게도 국민의 개인 관련 정보를 열람할 권한을 주는 것으로 파악됐다.
역시 중앙부처 산하 B기관과 C기관은 서비스 관련 신청서를 받을 때 필요하지도 않은 주민등록번호를 수집하면서 이용자의 동의를 받지 않고 있다. 모두 지난해 3월 행정안전부가 배포한 ‘공공기관 개인정보보호 지침’을 위반한 사례다.
공공기관을 대상으로 한 개인정보 영향평가는 2007년 KISA가 3개 기관을 대상으로 시범 실시한 적은 있지만 예산을 투입해 공식적으로 시행한 것은 이번이 처음이다.
최종 보고를 받은 행안부는 평가 대상기관에 대해 “평가받은 사실을 외부에 알리지 않는다”는 내부 계약을 이유로 끝까지 함구했다.
평가 결과 △개인정보보호 방침 미비 및 미게시 △데이터베이스(DB) 관리자 접근 권한 남용 △불필요한 주민등록번호 수집 △보안서버 미비 등은 여러 기관에서 공통적으로 지적됐다.
일부 관리자는 민감한 개인정보를 다루면서도 시스템 로그인에 필요한 ID와 비밀번호를 동일하게 설정하는 등 기본적인 보안수칙조차 지키지 않았다.
한 기관은 위탁업체 담당자들에게까지 접근 권한을 부여하면서도 DB에 저장된 국민의 주민등록번호를 암호화하지 않아 외부 유출에 거의 무방비 상태였다. 기관 내에 개인정보보호 책임자가 아예 없는 곳도 있었다.
이처럼 많은 문제점이 발견됐지만 공공기관 개인 정보보호 지침은 권고사항일 뿐이어서 별도의 제재조치를 취할 수는 없다. 기관별 ‘보안 의식’이 개선되기를 기대할 수밖에 없다는 뜻이다.
고려대 정보경영공학대학원장인 임종인 교수는 “부처별 보안 담당자들은 ‘사고 안 나면 다행’이라는 식의 태도를 갖고 있다”며 “그러다 보니 고의든 실수든 공공기관에서 내부 유출사고가 자꾸 생기는 것”이라고 말했다.
김창덕 기자 drake007@donga.com