학력평가 성적 유출 경기도교육청 과태료 2160만원
전국연합학력평가에 응시한 학생의 성적정보가 유출된 경기도교육청 등을 비롯해 총 14개 공공기관에 대해 과태료 처분 등 제재조치가 내려졌다.
개인정보보호위원회는 지난 26일 전체회의를 열고, 올해 초 전국연합학력평가 성적이 유출된 경기도교육청을 비롯해 개인정보처리시스템 등의 안전조치를 소홀히 한 13개 공공기관에 대한 제재 처분을 의결했다고 27일 밝혔다.
해킹으로 약 27만명의 전국연합학력평가 응시학생의 성적정보가 유출된 경기도교육청은 2160만원의 과태료 처분과 함께 보유한 개인정보처리시스템 일제 점검, 거버넌스·매뉴얼 정비, 취급자 교육 강화 등의 개선 권고 처분을 받았다.
개인정보위의 조사 결과 경기도교육청은 ▲자체 개발한 온라인시스템 접근통제 미흡 ▲안전한 인증수단 없이 시스템 운영 ▲최신 보안패치 미적용 ▲접속기록 미점검 ▲보유기간이 지난 성적정보 보존를 파기하지 않는 등 전반적인 관리 부실이 확인됐다.
경기도교육청의 이러한 법 위반행위는 현행 개인정보보호법으로는 과태료 처분에 그치지만, 개정된 법이 시행되는 다음달 15일부터는 과징금 부과 등 더 큰 제재를 부과할 수 있어 개인정보를 다루는 기관들의 각별한 주의가 요구된다는 게 개인정보위의 설명이다.
이 밖에도 일반 개인정보보다 더 엄격히 보호해야 하는 주민등록번호의 안전성 확보조치를 하지 않은 서울시 등 13개 기관에 대해서도 과징금, 과태료 부과 등의 처분을 의결했다.
주요 사례로는 ▲주민등록번호가 담긴 파일이 전자우편이나 공문에 잘못 첨부돼 발송된 경우 ▲합격자 명단 등을 홈페이지에 게시하면서 엑셀 파일에 주민등록번호가 숨겨진 채 함께 게시된 경우 ▲개인정보가 담긴 서류가 이면지에 섞여 유출된 경우 ▲민간인증 로그인 시 본인인증 오류로 주민등록번호가 다른 사람에게 유출된 경우 등이 있었다.
공공기관의 경우 다량의 개인정보를 처리하고 있어 기술적·관리적 보호조치 상의 작은 과실로도 심각한 피해로 이어질 가능성이 큰 만큼 담당자들의 세심한 주의가 필요하다는 게 개인정보위의 조언이다.
한편 개인정보위 현재 ’공공부문 집중관리시스템 개인정보 안전조치 강화계획’에 따라 국민의 민감한 개인정보를 대량으로 처리하는 공공기관에 대한 안전조치 이행실태를 집중점검하고 있다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network