주민등록번호 포함된 문서 온라인에 올라와

이번 사태에서 유출된 파일

 논란은 지난달 20일 오후 4시경 본교 익명 커뮤니티인 에브리타임에 올라온 글로부터 시작됐다. 글쓴이 A씨는 본인을 본교 졸업생이라고 밝히며, 민감한 개인정보를 담은 파일이 외부로 노출돼 있었다고 전했다. 해당 사실을 글로 쓰게 된 이유로 “파일 노출 사실을 학교에 알렸지만, 적절한 조치를 하지 않고 쉬쉬하는 태도를 보여 화가 났다”며 본교 측 대응을 꼽았다. 본교는 해당 사태에 대해 다수의 학생이 반발하고 언론 보도가 잇따르는 등 논란이 불거지자, 지난달 22일 본교 홈페이지 메인에 사과문을 게시했다.

 문제가 된 해당 파일은 지난 2020년 1학기부터 2021년 2학기 국가장학금 지급자 명단에 관한 파일로 본교 장학지원팀의 게시물에 포함돼 있던 것으로 알려졌다. 해당 파일에는 국가장학금 수여 대상자의 △이름 △학과 △학번 △주민등록번호 △소득분위 관련 정보 등이 포함된 것으로 확인됐다. 글쓴이 A씨는 외부 검색엔진인 구글에서 본교와 관련된 내용을 검색하다 우연히 해당 파일을 발견했다고 밝히며, 지난 2월 1일 발견 즉시 본교 측에 신고했다고 전했다. 이후 2월 2일 새벽경 전산정보원에서는 구글에 파일 삭제를 요청하는 등 매뉴얼에 따라 외부에서 해당 파일에 접근하는 것을 차단했다.

홈페이지 개편 과정에서 공개된 것으로 보여

 본교 총괄대응본부 측 관계자(이하 본교 관계자)는 본지와의 인터뷰에서 해당 파일이 노출된 경위에 대해 자세히 설명했다. 현재까지 진행된 조사에 따르면 해당 파일이 홈페이지에 처음 게시된 것은 지난 2022년으로 보인다. 당초 본교 장학지원팀에서 국가 근로장학생을 위한 안내 게시물을 올리며 해당 파일이 실수로 포함됐고, 10~20분 이내에 삭제한 것으로 추정된다. 그러나 데이터베이스 상에서만 파일이 삭제됐고 서버에는 파일이 그대로 남았던 것으로 보인다. 문제는 작년 7월 홈페이지 개편 작업을 하면서 발생했다. 새로 작업한 홈페이지로 정보들을 옮기는 과정에서 서버에 남아있던 파일이 다시 외부 검색엔진으로 노출된 것이다. 다만 홈페이지의 게시물에서 확인이 가능했던 것인지는 파악되지 않았다고 설명했다. 본교 관계자는 “현재까지 조사 과정에서 밝혀진 내용은 위와 같다”며 “홈페이지 개편 작업에 참여했던 A업체 측과 협력해 조사 중에 있다”고 밝혔다. 다만 아직까지 외부로의 2차 유출은 확인된 사항이 없다며, 기술적인 한계로 해당 파일을 내려받은 로그 기록이 남아있지 않아 파악에 어려움을 겪고 있다고 토로했다.

‘노출 vs 유출’ 다투는 사이 조치 지체돼

 당초 글쓴이 A씨는 본교 측과 지속적으로 통화하며 본교 측의 대응 과정에 강력히 항의한 것으로 알려졌다. 본교 측은 해당 파일이 외부로 공개된 것에 대해 ‘개인정보 노출’로 판단했지만, A씨는 피해자에게 이같은 사실을 알릴 것을 요구하는 등 유출에 상응하는 조치를 요구했다. 개인정보 노출의 경우 노출 페이지 삭제 또는 비공개 처리, 개인정보 마스킹 처리 등의 조치가 필요하다. 그러나 제3자의 접근으로 개인정보가 유출 됐다고 판단될 경우 관련법에 의해 정보주체, 즉 피해자에게 72시간 이내에 통지해야 하며, 개인정보보호위원회(이하 개인정보위)나 한국인터넷진흥원 측에 신고해야 한다. 이에 글쓴이 A씨는 에브리타임에 글을 올리기 수 시간 전에도 본교 측과 통화하며 재차 피해자에 통보할 것을 요구했고, 본교 측은 내부 논의 후 1주일 뒤에 답변하겠다고 답한 것으로 알려졌다. 이에 대해 본교 관계자는 “처음 신고를 받은 담당자는 해당 상황을 개인정보 노출로 판단하고 매뉴얼에 따라 대응했다”고 설명했다.

“본교 대응 적절했는가”, 적절성 두고 도마 올라

 본교 측은 개인정보 노출로 판단한 이유에 대해서 “개인정보보호위원회(이하 개인정보위) 법령해석센터 측에 구두로 질의한 결과를 바탕으로 일부 판단했다”고 설명했다. 경기일보 보도에 따르면 개인정보위 법령해석센터 측에 문의한 당시 본교 사안임을 밝히지 않고 구두로 노출과 유출의 차이에 대한 질의 이후 유·노출 여부를 판단한 것으로 알려졌다. 그러나 개인정보위 측 자료와 법조인 A씨의 설명에 따르면 단순히 게시판에 개인정보가 게시돼 있다면 노출이지만, 제3자가 개인정보를 △열람 △조회 △다운로드 등을 했다면 유출에 해당한다는 것이다. 개인정보위 관계자는 해당 사안에 관련된 질문에 “이미 해당 사안은 노출을 넘어서 개인정보 유출 사안으로 판단된다”고 말하며 본교 측의 설명과 상반되는 의견을 밝혔다. 본지와의 인터뷰를 진행한 한 법조인 A씨 역시 “정보관리자가 관리하는 개인정보가 이미 외부로 나간 상황이고 제3자에 의해 다운로드까지 이뤄졌다면 유출로 보아야 할 것”이라며 해당 사항은 노출로 보기 어렵다는 의견을 냈다. 이처럼 현재까지의정 황상 단순 개인정보 노출로 보기는 어렵다는 것이 다수의 의견이다.

 본교 측은 해당 사안에 대해 개인정보 노출로 판단했다는 등의 이유로 신고를 미뤄왔고, 언론 보도 이후 대응 과정에 최초 신고로부터 한 달이 훌쩍 넘은 지난달 25일 개인정보위에 신고 절차를 밟았다고 설명했다. 관련법상 신고 의무를 이행하지 않는 경우 관련법에 의해 5천만 원 이하의 과태료가 부과될 수 있다. 법조인 A씨는 “위와 유사한 사례에 대해 개인정보위가 유출에 대한 안전조치의무 위반 및 유출 신고 위반으로 과징금 및 과태료를 부과한 사례가 있다”며 부연했다. 그러나 해당 사안에 대해 신고가 이뤄졌는지에 대해서도 정확한 확인이 어려운 상태다. 개인정보위 관계자는 지난달 26일 기준 아직 본교 측으로부터 직접 접수된 유출 신고는 없다고 말했다. 이어 “언론 보도를 통해 자체 인지 후 사전 조사를 계획하고 있다”고 설명하며 역시 본교 측과 상반된 내용의 입장을 밝혔다. 한편 이번 사태에서 실수로 업로드된 파일 자체도 문제의 소지가 될 가능성이 높은 것으로 나타났다. 개인정보의 안전성 확보조치 기준 제7조에 따라 개인정보처리자가 주민등록번호 등의 정보를 포함해 저장할 때는 암호화하도록 규정돼 있기 때문이다.

“피해자 지원에 모든 역량 기울일 것”

피해자들에게 전달된 문자메세지

 본교 관계자는 “해당 사안을 매우 엄중히 보고 있다”며 “사고 인지 직후 총괄대응본부를 통해 대응 중에 있다”고 설명했다. 특히 사안의 원인을 규명하고 재발 방지를 위한 대책을 수립해 이행하는 것도 중요하지만 1순위는 피해자를 지원하는 것이라고 부연했다. 이번 사고와 관련된 문의사항 및 피해 사항에 대해 총괄대응본부 연락처 및 피해접수창구를 홈페이지 내 게시해 대응 중인 것으로 나타났다. 또한 지난달 22일 개인정보 유출 피해자에게 문자로 해당 사실을 통지했다. 본교 관계자는 지난달 26일 기준으로 “24명의 학생이 피해 사례를 접수했다”며 “향후 피해자 지원 방안 수립을 위해 필요한 과정으로 해당 사안으로 인한 피해가 발생했다면 주저하지 말고 접수 부탁드린다”고 전했다. 그러나 보상 방안을 묻는 질문에는 “현재 경위에 대한 조사가 진행 중이고, 구체적인 피해 사례를 통해 추후 확정할 예정”이라고 밝혔다. 이외에도 재발 방지로 본교 홈페이지 내에 ‘개인정보 업로드 차단 및 개인정보 필터링 시스템’을 구축해 추가적으로 개인정보가 포함된 파일이 홈페이지에 업로드되는 것을 방지하겠다고 설명했다. 또한 ‘개인정보 검출 진단용역(기존정보 검출) 계약’으로 향후 60일간 내·외부에 구성원의 개인정보가 남아있는지 확인할 계획이라고 밝혔다. 본교 측은 “개인정보가 외부로 유출된 사안에 대해 정중히 사과드린다”며 “유사한 사례가 발생하지 않도록 고강도 조사를 통해 지위고하를 막론하고 강력한 조치를 취할 것”이라고 밝혔다.

 이번 사태로 인해 개인정보가 외부로 유출된 학생들은 본교 측에 신속한 조치를 취할 것을 요구했다. 최초로 본 사태를 다룬 에브리타임 게시물에 한 학생은 ‘그냥 넘어갈 문제가 아닌 것 같다’고 말했고 ‘언론사에 제보하거나 (개인정보위에) 신고해야 할 것 같다’는 의견을 남기며 불안감을 감추지 못했다. 약 200여 명이 모여있는 ‘경기대 개인정보 유출 피해자 단톡’ 오픈채팅방에서는 해당 사안에 대해 자세한 경위를 묻는 피해자들로 분주했다. 특히 조사가 진행되고 있음에 따라 홈페이지에 게재된 사과문 이후 본교에서 아무런 공지가 없자 피해자들이 자발적으로 본교 측과 소통하며 내용을 공유하고 있었다. 민사상으로 집단 소송을 제기하기 위한 움직임도 보이는 등 개인정보 유출 피해자들은 해당 사태를 해결하기 위해 각기 노력하고 있는 모습이었다. 법조인 A씨는 “특히 민사상 손해배상 청구 시 개인정보 유출에 대한 신고유무에 따라 참작될 수 있다”며 “개인정보처리자가 고의 또는 과실 없음을 입증하지 못하면 책임을 면하기 어려울 것으로 보인다”고 설명했다.

김태규 기자 Ι taekue@kyonggi.ac.kr