본교가 지난달 14일(월)부터 16일(수)까지 사흘간 행정안전부로부터 개인정보 보호 실태 현장검사를 받았다. 검사 결과 본교는 개인정보 보호법 제29조 위반 사항 4건이 적발됐다.

  개인정보 보호 실태 현장 검사는 △정부기관 △공공기관 △준 공공기관 등 개인정보를 수집하는 기관의 개인정보 관리 수준과 개인정보 보호법 준수 여부를 확인하기 위해 시행됐다. 검사 주체는 행정안전부와 한국인터넷진흥원이며, 각각 행정적인 부분과 기술적인 부분을 담당한다. 본교는 검사를 위해 △개인정보 수집 및 동의를 받는 과정 △정보를 보관하고 있는 상태 △행정 업무 내 개인정보의 흐름 △개인정보 보호를 위한 기술적 수단 등에 대한 자료를 준비했다.

  검사 결과 본교가 개인정보 보호법 제29조 ‘안전조치의무’를 위반한 사실이 확인됐다. 위반 내용은 총 4건으로, 유세인트에서 3건(△외부에서 개인정보 처리 시스템 접속 시 안전한 접속 수단이나 인증수단 미적용 △개인정보 취급자 접속 시 누락된 접속 기록 보관·관리 △개인정보 처리 시스템 접속 기록 월 1회 이상 미점검) 글로벌미래교육원 홈페이지에서 1건(개인정보 처리 시스템 접속 기록 월 1회 이상 미점검)이다.

  ‘외부에서 개인정보 처리 시스템 접속 시 안전한 접속 수단이나 인증수단 미적용’은 본교가 유세인트에 2차 인증을 적용하지 않아 지적된 내용이다. 지난 2016년 개인정보 보호법에서는 정보가 전송되는 구간에서 개인정보 보호를 위해 정보 암호화와 VPN(가상 사설 통신망)이 사용됐으나, 작년부터는 2차 인증을 의무화하는 방식으로 변경됐다. 그러나 검사 기간 중 본교는 2차 인증을 준비하고 있어 적용되지 않은 상태였다. 본교 정보화팀 정연민 팀장은 “2차 인증제는 올해 안에 도입될 예정”이라고 밝혔다.

  ‘개인정보 취급자 접속 시 누락된 접속 기록 보관·관리’의 경우 본교는 개정 이전 법에 따라 개인정보에 관한 접속 기록을 보관해왔으나, 개정된 법에 맞는 새로운 항목을 만들지 못했다. 현재 정보화팀은 관련 업체들과 논의를 진행하며 방안을 준비하고 있다. ‘개인정보 처리 시스템 접속 기록 월 1회 이상 미점검’은 내부 인력 및 예산 부족으로 인한 현실적인 어려움 때문에 점검하지 못했다. 정 팀장은 “각 부서들과 협의해 점검을 위한 체계를 마련할 계획”이라고 밝혔다.

  지난 3년간 본교는 외부 기관으로부터 개인정보 영향평가 이행 점검을 받아왔으나, 올해는 아직 진행되지 않았다. 정 팀장은 “점검 후 현장검사를 받았다면 더 좋은 결과가 나왔을 것 같다”며 아쉬움을 전했다. 이어 “비록 개인정보 보호에 미흡한 부분은 있었지만, 개선하기 위해 노력하는 중”이라고 밝혔다. 실제 본교는 올해 유세인트에 개인정보 보호 강화에 용이한 ‘https’를 적용한 바 있다(본지 1236호 ‘유세인트 멀티브라우저 지원 완료돼’ 기사 참조). 또한 오는 25일(월)부터 29일(금)까지 정보보호 관리체계(ISMS) 인증 심사를 받을 예정이다(본지 1238호 ‘본교 ISMS 인증 심사 준비 중’ 기사 참조). 

  한편 개인정보 보호법 위반에 대한 행정처분은 3개월 이내에 통지될 예정이다. 정 팀장은 “이번 검사는 행정안전부가 임의로 학교를 선정해 시행한 것”이라며 “행정처분의 수위는 행정안전부 측에서 각 대학의 검사 결과를 종합해 결정할 것”이라고 말했다.