[개인정보 스토커] ① '신당역 사건'…허술한 공공 개인정보 관리 참사 [데이터링]

[아이뉴스24 박진영 기자] 공공기관의 허술한 개인정보 관리로 인해 흉악 범죄가 잇따르고 있다.

최근 신당역 스토킹 살인 사건의 피의자 전주환(31)이 서울교통공사에서 직위해제된 이후에도 피해자 근무지를 파악해 범행을 저지른 것으로 드러나면서 개인정보 시스템 관리 부실에 대한 심각성이 수면 위로 올라왔다.

◆공사 내부망 통해 피해자 정보 파악…개인정보위, 안전조치 등 실태 조사

개인정보보호위원회는 지난 21일 전 씨가 개인정보처리 시스템에 권한 없이 접근한 경우 위법 소지가 있다고 보고 조사에 나섰다.

서울교통공사에서 역무원으로 근무하던 전씨는 지난해 10월 불법 촬영물을 유포하겠다며 직장 동료인 피해자를 협박하고 만남을 강요한 혐의 등으로 고소된 뒤 직위해제 됐다. 그런데 이후에도 회사 내부망 접속 권한을 그대로 갖고 있었으며, 이를 통해 올해 1월 바뀐 피해자의 근무지를 알아낸 것으로 드러났다.

서울교통공사 내부망 접속 권한은 재판이 끝나고 징계 절차가 개시돼야 박탈되는 탓에 전씨가 이후에도 내부망에 접속할 수 있었던 것으로 파악됐다.

한편, 전 씨를 보강 수사 중인 서울중앙지검 전담수사팀(팀장 김수민 형사3부장)은 지난 23일 서울교통공사를 압수수색했다. 이는 전씨가 직위해제 된 뒤에도 회사 내부망에 권한 없이 접근하게 된 경위, 공사의 개인정보 관리 상황 등을 확인하기 위한 것으로 보인다. 검찰은 공사 내 정보운영센터 등에 수사관들을 보내 내부 전산 기록 등을 확보한 것으로 알려졌다.

개인정보 처리 실태와 관련, 행정 조사 권한을 갖고 있는 개인정보위는 개인정보처리자에 해당하는 공사가 개인정보 유출이 안 되도록 안전성 확보에 필요한 조치를 했는지(개인정보법 29조) 등 위법성 여부를 따진다.

또 피해자 근무지, 일정 등 유출된 정보가 개인정보에 해당하는 지도 살펴볼 방침이다. 개인정보보호법에 따르면, 개인을 식별할 수 있는 정보는 모두 개인정보다. 해당 정보가 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보도 개인정보에 해당된다.

개인정보위 관계자는 "서울교통공사가 개인정보보호법상 안전조치 의무를 다했는지, 직원들이 개인정보 접근에 대한 최소한의 권한을 갖고 원칙에 따랐는지 등을 집중 조사하고 있다"면서, "조사 처분 규정에 따라 결과는 6개월 내로 나올 것"이라고 밝혔다.

이 가운데 지난 23일, 부산의 한 공무원이 대전에 사는 연인의 개인 정보를 열람했다는 주장이 제기돼 경찰이 수사에 착수했다.

26일 경찰과 부산북구에 따르면, 구청 공무원 30대 A씨는 올해 초 당시 연인이던 B씨의 개인정보를 정부 프로그램인 사회보장시스템에서 열람한 것으로 나타났다. 이를 통해 A씨는 대전에 사는 B씨의 소득 등 개인 정보를 확인했다.

당시 코로나19 지원금 업무를 위해 일시적으로 권한이 확대되면서 특정인의 이름과 주민등록번호 등이 있으면 타지역 주민의 정보도 열람할 수 있었다. 현재까지 B씨의 개인 정보가 외부에 유출된 정황은 없는 것으로 파악됐다. 북구는 인사위원회를 통해 A씨에 대한 징계 여부 등을 검토할 예정이다.

◆n번방, 이석준 사건 등 잇따른 피해…지자체, 소극적 대응 '여전'

이뿐 아니라 지난해 n번방 사건, 이석준 사건 등 공공부문 개인정보 유출 및 오남용 사례가 늘고 있음에도 지방자치단체 등 공공기관에서는 그동안 소극적 대응을 취해 온 것으로 파악됐다.

인재근 더불어민주당 의원이 보건복지부로부터 제출받은 국정감사 자료에 따르면, 2017년부터 2021년까지 최근 5년간 개인정보 오남용 의심 사례는 총 3만668건으로 나타났다. 이 중 소명이 부적정한 사례는 920건이, 징계 요구 건은 916건, 구두 경고 및 재발방지교육 지시 등은 4건이었다.

복지부 산하 한국사회보장정보원은 '사회보장정보시스템'을 운영하면서 각종 사회복지 급여 및 서비스 지원 대상자의 자격과 이력에 관한 정보를 통합 관리하고 있다. 복지부는 개인정보가 유출 및 오남용 방지를 위해 개인정보보호 상시모니터링 시스템을 운영 중이다.

복지부는 소명이 부적정한 인원에 대해 지자체에 징계 처분을 요구하는데, 최근 5년간 중징계(강등, 정직 등)는 5건, 경징계(감봉, 견책) 650건, 기타(경고, 주의, 훈계 등) 261건의 처분을 요구했다. 하지만 지자체들은 5건의 중징계 처분 요구에 단 한 건도 응하지 않은 것으로 나타났다. 더욱이 650건의 경징계 요구에도 26건만 경징계 처분을 내려, 요구 건수의 4%만이 실제 징계로 이어진 것으로 나타났다.

인재근 의원은 "지자체는 민감 정보를 다루는 현장 복지공무원을 대상으로 개인정보보호 교육을 강화함과 동시에 개인정보 오남용 직원에 대한 엄격한 처벌에 나서야 한다"고 지적했다.

한편, 공공기관 개인정보 유출로 부작용을 사전에 막기 위해 개인정보위는 지난 7월 '공공부문 개인정보 유출 방지대책'을 내놓았다. 개인정보를 고의 유출하거나 부정 이용한 공무원을 즉시 해임하고, 개인정보 대규모 처리 기관에 대해 3단계 안전조치의무를 부과하는 등 관리 시스템을 대폭 강화했다.

내년도 공공부문 개인정보 관리수준 진단을 강화하는 데에 8억원을 편성하기도 했다. 이를 통해 진단을 위한 정성지표와 기관별 자체진단을 도입하는 등 진단체계와 시스템을 개선하고, 취약기관 등을 대상으로 자문을 확대한다.

개인정보위 관계자는 "공공 개인정보를 고의 유출‧부정 이용한 공무원은 즉시 파면·해임하는 원스트라이크 아웃을 적용하고, 개인정보 취급자가 개인정보를 부정 이용할 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금을 부과하는 처벌 규정을 보호법에 신설하는 등 제재를 강화할 계획"이라면서, "관련 제도를 하반기 중 구체화할 것"이라고 밝혔다.

박진영 기자의 다른 기사 보기

• 개인정보위, 각 지자체에 '시‧도 개인정보 보호 표준 조례안' 안내

• "공무원 개인정보 무단 유출"…개인정보위, 수원시 과태료 360만원