등록 : 2017.10.09 16:41
수정 : 2017.10.09 20:55
|
사회보장정보원의 사회보장정보시스템 ‘행복이(e)음’의 교육 화면. 이름과 주민번호, 계좌번호 뿐 아니라 본인의 동의를 얻지 않고는 수집과 활용이 불가능한 ‘민감정보’인 장애여부가 그대로 노출돼 있다.
|
전국 공무원 1만7천명, 올초까지 접근…감사원 ‘주의’ 조처만
계좌번호·월소득·질병·장애등급 등 ‘수집불가’ 민감정보 다수
정보원 “불특정 ‘유출’ 아니다“지만 “재발방지책 필요” 지적
|
사회보장정보원의 사회보장정보시스템 ‘행복이(e)음’의 교육 화면. 이름과 주민번호, 계좌번호 뿐 아니라 본인의 동의를 얻지 않고는 수집과 활용이 불가능한 ‘민감정보’인 장애여부가 그대로 노출돼 있다.
|
기초수급보장 여부, 장애등급 등 각종 사회보장 관련 개인정보를 다루는 보건복지부 산하 사회보장정보원(이하 정보원)이 성남시민 등 191만명의 개인정보를 지난 4년 동안 일부 공무원들에게 노출해온 것으로 드러났다. 개인정보를 다루는 기관의 나태한 관리실태를 보여주는 사례인데도, 감사원은 주의를 주는데 그쳤다.
8일 국회 보건복지위원회 윤소하 정의당 의원실, 감사원, 정보원 관계자 등의 말을 종합하면, ‘행복이(e)음’이란 이름의 사회보장정보시스템의 구축·운영을 위해 이명박 정부 시절인 2010년 설립된 정보원은 2013년부터 올해 초까지 4년여 동안 전국의 사회복지업무 담당 공무원들에게 행복이음 사용법을 교육하면서 경기도 성남시민과 그 부양의무자 191만명의 개인정보를 그대로 활용했다. 이 기간 중 정보원의 전산교육장(서울 중구 퇴계로 소재)이나 각 지자체 교육장에서 교육 받은 전국 사회복지업무 담당 공무원은 1만7천여명에 달한다.
정보원은 행복이음 구축 과정에서 수집된 성남시민 등 294만여명 가운데 103만여명의 정보만 이름과 주민번호의 특정 자릿수를 별표(*) 처리하는 방법으로 ‘비식별화’했고 나머지 191만여명의 정보는 “예산과 시간의 제약 때문에” 그대로 썼다. 정보원 관계자는 “성남시민의 개인정보를 교육용으로 쓴 건 장애인이나 노인, 기초수급자 등 각종 취약층이 고루 분포하고 있어서”라고 말했다.
행복이음엔 이름과 주민번호 뿐 아니라, 학력, 직장명, 휴대전화 번호, 계좌번호, 통장 잔액, 부동산, 금융자산, 월 소득, 임신·출산 여부, 질병, 장애등급, 급여정보, 가족관계 등 많게는 760여종의 사회보장 관련 개인정보가 저장돼 있다. 특히 질병이나 장애 같은 건강 관련 정보는 개인정보보호법에서도 별도의 법률로 정하지 않고는 수집·활용을 제한하는 ‘민감정보’로 분류하지만, 정보원은 둔감했다.
|
사회보장정보원의 사회보장정보시스템 ‘행복이(e)음’의 교육 화면. 이름과 주민번호, 계좌번호 뿐 아니라 본인의 동의를 얻지 않고는 수집과 활용이 불가능한 ‘민감정보’인 장애여부가 그대로 노출돼 있다.
|
|
사회보장정보원의 사회보장정보시스템 ‘행복이(e)음’의 교육 화면. 이름과 주민번호, 계좌번호 뿐 아니라 본인의 동의를 얻지 않고는 수집과 활용이 불가능한 ‘민감정보’인 장애여부가 그대로 노출돼 있다.
|
지난 3월 감사원의 지적을 받고 정보원이 작성한 기획총괄부 명의의 내부 법률검토 자료를 보면, “교육 목적으로 지자체 공무원들에게 제공(접근권한 부여)하지 말았어야 한다“, “주민등록번호 및 민감정보를 조속히 파기할 것이며, 교육에 필요한 최소한도의 개인정보만 남기겠다고 할 수밖에 없겠다”, “장애인 여부는 민감정보이므로 보유하지 말 것이며, 교육은 가상의 정보로 해야”라고 돼 있다.
감사원은 올초 감사 과정에서 이 문제를 확인했지만 지난달 말에야 관련 보고서(‘복지사업 재정지원 및 관리실태’)를 내놓고 임병인 정보원 원장에 대한 주의조처를 했을 뿐이다. 개인정보보호법은 1만명 이상의 개인정보가 유출된 경우 지체 없이 필요한 조처를 한 뒤 개인정보의 당사자들이 알 수 있도록 서면과 누리집을 통해 7일 이상 유출이 확인된 사항을 알려야한다(34조 유출통지). 하지만 정보원은 감사원 지적이 있고나서야 해당 정보를 뒤늦게 비식별화했을 뿐, 그밖에 아무런 조처도 하지 않았다.
상황이 이런데도 보건복지부는 지난해 8월 정보원을 보건복지 분야 개인정보 비식별 조치 전문기관으로 지정했다. 전문기관은 비식별 조치 이행을 타기관에 권고하고 실태를 점검하는 등 개인정보 보호를 주도하게 된다.
정보원 관계자는 “교육서버는 외부와 분리돼 있고 승인된 저장장치가 아니면 복사해가는 것이 불가능해 감사원도 개인정보 ‘유출’이 아니라고 본 것”이라고 해명했다. 윤소하 의원은 “정보보호에 가장 철저해야 할 기관이 무신경, 무책임했다. 빅데이터 활용이 언급되는 시점에서 개인정보 관리에 커다란 구멍이 발견된 것으로, 근본적 재발방지책이 필요하다”고 지적했다. 행복이음을 사용하는 공무원들이 시스템 안 개인정보에 불법 접근한 것으로 의심되는 사례는 지난해에만 6700여건에 이른다.
박기용 기자
xeno@hani.co.kr
광고
기사공유하기