대학에서 개인정보 유출 사고가 지속적으로 발생하고 있다. 최근 3년간 개인정보 유출 사고가 발생했다고 알려진 대학만 약 5곳에 이른다. 대학에서 발생한 개인정보 유출 사고는 다양한 양상을 띠고 있다. 학내 정보시스템 등에 외부인이 침투해 개인정보를 빼내거나, 학내 시스템 전환 작업 도중 오류가 발생해 타인의 개인정보를 열람할 수 있었던 사고가 벌어졌다.
교육부는 개인정보 유출에 대한 경각심을 갖고, 대학의 개인정보 보호 수준을 높이기 위해 각 대학을 대상으로 매년 ‘정보보안 및 개인정보 보호 수준진단(이하 수준진단)’을 시행하고 있다. 우선 대학이 자체적으로 정보보호 수준을 진단하고, 교육부 검증 및 현장 점검을 통해 진단 결과를 정한다. 진단 결과는 ‘정보보안’과 ‘개인정보보호’ 분야 각각에서 ▲우수 ▲보통 ▲미흡 ▲미실시의 단계로 나뉜다.
하지만 수준진단에서 우수 혹은 보통 등급을 받은 대학에서도 개인정보 유출이 발생했다는 점에서 신뢰 불가한 지표라는 비판이 제기된다. 실제로 개인정보 유출이 발생한 대학 중 일부는 개인정보 유출 사고가 발생한 해에 개인정보보호 분야에서 각각 우수와 보통 진단을 받았다. 채은선(한국지능정보사회진흥원 지능화법제도센터) 수석연구원은 “실효성을 제고할 수 있는 방안을 모색할 필요가 있다”고 말했다.
일부 대학이 개인정보 보호에 충분한 예산을 투여하고 있지 않다는 점도 문제로 지적된다. 관련 예산이 충분치 않은 상황이기에 대학 내의 개인정보 보호 업무만을 전담하는 인력이 적은 문제가 발생하는 것이다. 개인정보보호위원회와 한국인터넷진흥원이 발표한 「2021년 개인정보보호 실태조사 보고서」(이하 실태조사 보고서)에 따르면, 2021년 기준 43개 대학 중 48.8%의 대학이 개인정보 보호 예산으로 1,000만 원 이상 1억 원 미만의 예산을 사용하는 것으로 조사됐다. 실태조사 보고서에 의하면, 개인정보의 처리에 관한 업무를 총괄하는 개인정보 보호책임자(CPO)를 제외하고 개인정보 보호 업무만을 전담하는 인원이 전무한 대학은 83.7%에 이르는 것으로 조사됐다. 타 업무를 병행하는 개인정보 보호담당자 인원이 1명인 대학은 34.9%, 2명인 대학이 37.2%, 3명 이상인 대학이 18.6%로, 대학들은 주로 개인정보 보호 업무를 타 업무와 병행하도록 하는 것으로 드러났다. 채 수석연구원은 “개인정보 보호 예산에 인건비가 포함되는 경우, 연봉 등을 고려하면 1억은 절대적으로 부족한 금액”이라며 “개인정보 유출은 1번의 실수로 인해 발생한다는 점에서 개인정보 보호가 지속적으로 유지될 수 있어야 하고, 따라서 개인정보 보호 전담 담당자를 두는 것이 중요하다”고 말했다. 이어 신영진(배재대학교 소프트웨어공학부 정보보안학) 교수는 “대학 예산 배정 과정에서 정보 보호 예산이 후순위로 밀리는 상황”이라고 지적했다.
대학의 자체적인 진단이 교육부의 수준진단에 상당 부분 영향을 끼친다는 점이 수준진단의 신뢰성을 저하시킨 요인으로 지목된다. 김명주(서울여자대학교 정보보호학과) 교수는 “대학 내 조사가 형식적인 조사에 그치는 경우가 상당하다”고 전했다.
대학의 관련 예산 부족 원인으로는 안이한 인식이 꼽힌다. 개인정보 유출 사고가 발생함에도 개인정보 보호를 위한 예산과 인력을 충분히 투입하지 않고 있는 실정이 관련 인식이 부족하다는 방증이라는 것이다. 김 교수는 “대학 경영진이 보안을 비용적 측면에서만 생각하고, 투자 대비 결과물이 눈에 보이지 않는다고 생각하는 것이 원인”이라고 말했다.
전문가들은 신뢰할 수 있는 수준진단을 위해서는 대학 내 개인정보 보호 전담 인력이 필요하다고 강조한다. 교육부 검증 이전에 대학이 자체적으로 정보보호 수준을 진단하는 과정이 원활히 이뤄지려면 전문성을 갖춘 전담 인력이 필요하기 때문이다. 채 수석연구원은 “수준진단을 받으려면 기관 내부에서 자료 등 준비할 것들이 많은데, 이 과정에서 실질적인 업무 수행을 위해서는 전담자가 필요하다”고 말했다.
관련 인력 확충을 위해 예산 확보는 필수적이라는 목소리가 높다. 신 교수는 “현재 개인정보 보호 예산이 충분한 곳이 많지 않기에 앞으로 예산 비중을 늘릴 필요가 있다”고 말했다. 이어 채 수석연구원은 “대학에서 관리하는 개인정보 특성을 고려해 대학별로 필요한 예산을 편성해야 한다”고 설명했다.
이외에도 국가가 개인정보 보호에 쓰이는 예산과 인력을 지원해야 한다는 견해가 일부 제기된다. 『개인정보 보호법』에서 정부가 개인정보 유출 등의 문제를 방지하기 위해 책무를 다해야 한다고 규정하고 있기 때문이다. 김 교수는 “개인정보 보호가 잘 이뤄지지 않는 대학 중 운영상 어려움을 겪는 대학에 한해, 정부가 취약점을 파악하고 지원하는 것이 방법일 수 있다”고 전했다.
대학 구성원의 개인정보에 대한 인식을 강화하기 위해 학생 대상의 개인정보 보호 교육 의무화가 필요하다는 의견도 존재한다. 개인정보의 주체로서, 개인정보에 충분한 보호가 필요함을 인지해야 한다는 지적이다. 『개인정보 보호법』 제28조에서 개인정보를 처리·취급하는 기관·기업에서 개인정보 보호 등을 위해 교육이 실시돼야 한다고 규정하고 있어 교직원에 대한 개인정보 보호 교육은 의무인 상황이다. 채 수석연구원은 “대학생에게도 개인정보 취급과 처리에 있어 준수해야 할 사항을 교육한다면, 대학 및 전 국가적 차원에서 개인정보 보호 강화에 큰 도움이 될 것”이라고 전했다.
개인정보 보호 업무가 주요 사항으로 고려되도록 하려면 대학 재정 지원 사업에 개인정보 보호 항목을 평가 기준으로 추가하는 방안이 실현돼야 한다는 목소리도 있다. 대학이 스스로 개인정보 보호 수준을 높이는 노력을 기울일 수 있는 환경을 조성해야 한다는 것이다. 신 교수는 “대학이 개인정보 보호에 예산과 인력을 투입하는 정도 등을 평가항목으로 추가하면 대학의 자발적인 개선이 이뤄질 것”이라고 말했다.
박건희 기자
