# 지난달 20일 경희사이버대학교 학점교류 강의 ‘현대인의 생활법률’에서 우리학교 학부생 123명의 개인정보가 유출되는 사고가 발생했다. 시험 오류로 인해 재시험을 안내하는 과정에서 조교의 실수로 개인정보 파일이 게시된 것이다. 해당 사례 외에도 행정 처리 과정에서 개인의 부주의로 인한 개인정보 유출은 학내에서 꾸준히 발생해 온 문제다. 우리신문은 정보처를 만나 이와 같은 개인정보 유출 문제의 대책을 들어봤다.

▲지난달 경희사이버대학교에서 올라온 학점교류 강좌 ‘현대인의 생활법률’에서 발생한 개인정보 유출사고에 대한 사과문 (사진=경희사이버대학교 홈페이지 화면 캡처)

사건의 발단은 지난달 19일이었다. 당일 오후 5시 예정이던 중간고사에서 문제 추출 오류가 발생해 일부 학생이 시험을 치르지 못했다. 이에 이튿날인 20일, 추가시험 대상자 331명에게 일정을 공지하는 과정에서 그들의 개인정보가 담긴 엑셀 파일이 공지 게시판에 게재됐다. 이 게시판엔 해당 강좌 수강생 전체가 접근할 수 있었다. 유출된 331명 중 우리학교 학부생은 123명이다. 한 피해 학생은 “이름과 학번, 연락처 등 특정 가능한 정보가 대부분 유출된 것 같아 당황스럽다”고 토로했다. 이후 사이버대학 측은 사과문과 함께 파일을 다운로드 한 학생들에게 개별 메일을 보내 삭제를 요청하고 비밀번호 변경을 권고한 상황이다.

사소한 실수로 발생가능한 개인정보 유출

학내 개인정보 유출 원인 60%는 ‘부주의’

실수로 인한 개인정보 유출 사고는 사이버대만의 문제가 아니다. 행정 처리 과정에서 개인의 부주의로 인해 발생하는 정보 유출은 우리학교에서도 꾸준히 반복되고 있다. 정보처에 따르면 최근 3년간 우리학교 전체 개인정보 침해 사고 중 내부 부주의로 인한 사고 비율은 약 60%에 달한다. 정보처는 “해킹과 같은 외부 공격은 방화벽을 강제로 뚫기보다 무심코 누른 피싱 메일, 권한 설정 실수, 실수로 유출된 개인정보 등을 통해 내부자 권한을 탈취하는 방식으로 이루어진다”고 설명했다.

실제로 올해에도 개인 부주의로 인한 개인정보 유출 사례가 있었다. 지난 3월 국제교육원에서는 성적표 및 수료증 발송 과정에서 담당자의 실수로 발송 주소가 잘못 입력돼 학생 308명의 개인정보가 유출되는 일이 있었다.

이성원 정보처장은 “해당 사례는 정보 열람 대상자가 직접 시스템에서 확인하면 될 정보를 행정 부서에서 친절히 개별적으로 안내하는 과정에서 실수가 발생한 경우”라며 “의도와 다르게 정보 유출로 이어져, 최근에는 필요 이상의 개별 발송 과정을 지양하도록 안내하고 있다”고 설명했다. 이처럼 해킹과 별개로 일상적 행정 절차에서 발생하는 ‘작은 실수’가 곧바로 개인정보 유출로 이어질 수 있다.

72시간 이내 신고·책임자 보고 등

개인정보 유출 시 대응 체계 존재해

이와 같이 정보 유출 사고가 발생할 때마다 학교는 규정에 따라 동일한 사후 대응 절차를 밟고 있다. 우리학교의 개인정보침해 및 유출 대응 시행세칙 제14조는 사고가 발생하면 교육부 정보보호팀에 72시간 이내에 사실을 신고하고, 유출 피해 학생에게 해당 사실을 통지하도록 규정한다. 또한 개인정보침해 및 유출 처리책임자는 유출된 개인정보의 회수·삭제 등 필요한 조치를 취해야 하며, 사고처리보고서를 작성해 개인정보 보호책임자에게 제출해야 한다. 

개인정보 보호책임자는 보고서를 검토·승인한 뒤, 30일 이내 근본 원인을 분석하고 재발 방지 대책을 마련하도록 돼있다.

정보처는 사고 발생 시 금융 피해나 명의 도용 등 피해를 최소화하기 위해 유출 당사자에게 정부 기관 차원에서 지원하는 서비스를 안내하고 있다. 

서비스에는 ▲개인정보노출자 사고예방시스템(금융감독원) ▲계좌정보통합관리서비스(금융결제원) ▲엠세이퍼(한국정보통신진흥협회) ▲e프라이버시 클린서비스(개인정보보호위원회) ▲털린 내 정보 찾기(한국인터넷진흥원·개인정보보호위원회)가 있다.

주요 개인정보 마스킹·PC 필터 등

사전 유출 방지 대책도 있어

개인정보 유출 사고를 방지하기 위한 대처 방안도 마련돼 있다. 정보 취급자인 교원·직원·강사·조교 등이 인포21에서 학생의 개인정보를 조회할 때 학번과 주민등록번호 등 주요 개인정보는 자동으로 마스킹(숨김)된 상태로 제공된다.

통계나 사업 보고서를 위해 마스킹되지 않은 원자료가 필요한 경우에는 그 사유를 반드시 시스템에 기록으로 남기도록 한다. 이 과정에서 정보가 취급자의 개인 PC에 남을 가능성을 차단하기 위해 각 취급자의 PC 상에 저장된 개인정보가 있는지 여부를 주기적으로 확인하는 개인정보 보호 시스템(PC필터) 설치를 의무화하고 있다.

타 대학의 경우에는 공지 등을 위해 공개 게시판에 자료를 업로드하기 이전, 파일에 주요 개인정보의 기재 자체를 차단하는 방식을 사용하고 있기도 하다. 서강대 디지털정보처 정보전략팀 한 직원은 “선제적 필터링 방식으로 엑셀 파일 등을 업로드할 때 주민등록번호, 여권번호와 같은 주요 개인정보는 탐지해 차단하는 시스템을 약 5년 전부터 사용해오고 있다”고 설명했다.

우리학교는 교육부가 주관하는 ‘정보보안 및 개인정보보호 수준 진단’에서 재작년 ‘미흡’ 판정을 받았으나, 작년에는 5월부터 세 달간 전문업체로부터 개인정보보호 관련 컨설팅을 받은 뒤 ‘우수’ 등급으로 상향됐다.

이 과정에서 관련 기존 시행세칙을 전면 개정하고 접근권한 관리 및 재난 위기 대응 지침 등을 새로 제정해 대응 체계를 고도화했다. 또 개인정보 취급자를 대상으로 매년 개인정보보호 및 정보보안 교육을 의무적으로 실시하는 등 내부 구성원의 보안 인식을 높이는 데 주력하고 있다.

이 처장은 “개인에 의한 개인정보 유·노출 사고는 마치 백신을 맞아도 독감에 걸리는 것과 같다”며 “체계적인 관리·감독 방안을 수립하고 시행해 사고를 예방하고 지속적인 교육을 통해 구성원들의 정보보안 및 개인정보보호 인식을 유의미하게 개선해 나가고자 한다”고 밝혔다.