부산 부경대학교에서 직원 1300여 명의 이름과 주민등록번호 등 개인정보가 통째로 내부 전산망에 공유됐다. 부경대는 10일 가까이 지나서야 내부 유출 사고 사실을 인지하고 피해 규모 확인 등 후속 조치에 나섰다. 국립대학교의 개인정보 관리 시스템이 부실한 것 아니냐는 지적이 나온다.

23일 부경대에 따르면 지난 13일 한 직원이 자체 행사를 안내하는 공문을 내부 전산망에 발송하는 과정에서 직원 1329명의 이름과 주민등록번호가 담긴 파일을 함께 첨부했다. 이 공문은 학교 내 전 부서를 대상으로 발송됐고, 각 부서의 문서 결재자들은 문서를 열람할 수 있었다.

학교 측에 따르면 첨부된 파일은 행사 참석 직원 명단으로, 해당 직원이 파일에서 주민등록번호를 삭제하고 보내야 하는데, 실수로 삭제하지 않고 발송했다는 게 부경대 관계자의 설명이다.

자체 행사 공문 발송 과정
직원 실수로 전산망 공유
9일 지나서야 사실 인지해
‘국립대 개인정보관리 부실’ 성토

부경대는 사고가 벌어진 지 9일이나 지나서야 뒤늦게 인터넷 커뮤니티를 통해 이 사실을 인지했다. 개인정보 관련 업무를 담당하는 부서는 지난 22일 직장인 인터넷 커뮤니티 ‘블라인드’에 개인정보 내부 유출 관련 게시글이 올라온 것을 확인했다. 부경대 소속 한 직원은 “(유출 사고가) 일주일은 된 거 같은데 아직 아무 말이 없다. 그냥 이렇게 유야무야 넘어가는 건가”라며 학교의 미온적 대응을 꼬집는 글을 게시했다.

문서를 발송한 직원은 사고 바로 다음날인 지난 14일부터 미열람 공문을 회수하고 각 부서에 공문 반송, 첨부파일 폐기 조치를 안내하는 등 자체적인 사고 수습에 나섰지만, 직원이 보고하지 않았기 때문에 개인정보 담당 팀에서는 이 사실을 전혀 파악하지 못했다. 부경대에 따르면 내부 전산망에 공문을 한 번 발송하면 임의로 삭제할 수는 없고, 수신 부서에서 공문을 반송하거나 내려받은 파일을 스스로 삭제해야 한다.

부경대는 뒤늦게 교육부와 한국인터넷진흥원 등에 개인정보 유출 신고를 계획하고 있다. 개인정보보호법 등에 따르면 개인정보처리자는 1000명 이상 정보주체의 개인정보가 유출될 경우 5일 이내 정보주체에의 통지 여부, 유출된 개인정보의 항목과 규모, 유출된 시점과 경위, 피해 최소화 대책·조치와 결과 등을 관계 기관에 신고해야 한다. 그러나 학교의 사고 인지 자체가 이미 10일 가까이 지체돼 ‘늑장 대처’ 지적은 피하기 어려울 전망이다.

다만 현재까지 개인정보 유출로 인한 직접적 피해는 없는 것으로 알려졌다. 경찰에 따르면 해당 직원이 고의가 아닌 실수로 개인정보를 공개하게 됐다는 점에서 개인정보보호법상 처벌은 불가능할 전망이다. 다만, 개인정보가 담긴 파일을 보관하고 있다가 부적절한 목적으로 사용하는 경우에는 처벌 대상이 된다.

부경대는 전체 부서 대상 개인정보보호 교육을 강화하겠다고 밝혔다. 부경대 관계자는 “교육부에 질의해보니 내부에서 자료가 공유됐기 때문에 공식적인 개인정보 유출로 판단될 가능성은 낮다고 파악됐다”며 “비록 뒤늦게 사안을 인지했지만, 현재까지는 피해가 없고 앞으로도 피해가 발생하지 않도록 노력하겠다”고 밝혔다. 손혜림 기자 hyerimsn@