13일부터 학원 개인정보보호 실태 현장점검 ‘돌입’

개인정보 이용시 별도 동의·파기·접근권한 관리 등 집중점검

[보안뉴스 김경애] 행정자치부가 13일부터 23일까지 열흘간 전국 7만 6천여 개 학원에 대해 개인정보보호 실태 현장점검을 집중적으로 실시한다.

이번 현장점검에서는 사전에 자율점검을 수행하고 개선계획을 충실히 수립한 학원에 대해 계획기간 내에 보완하도록 개선 권고할 예정이다. 또한, 자율점검을 시행하지 않은 학원의 경우 법 위반사항이 적발되면 재발방지를 위해 과태료 부과 등 엄정한 행정처분을 실시할 것으로 알려졌다.

현장점검에서의 중점 점검내용은 △게시물, 전단지 등을 통한 개인정보 활용 시 별도 동의 여부 △수강생 개인정보의 파기기간 설정 여부 및 기간 내 파기 △접근권한 관리 및 암호화 설정 등 안전조치 여부 △홈페이지 및 학원관리 시스템 수탁사 관리의 적정성 등이다.

개인정보 활용 시 별도 동의의 경우 고유식별정보와 민감정보, 마케팅용 필요정보 등 수집시 별도 동의를 받고 있는지 여부가 중요하다. 고유식별정보의 경우 여권번호, 운전면허번호, 외국인등록번호 등이 해당되며, 민감정보는 사상·신념에 관한 정보, 노동조합·정당의 가입·탈퇴에 관한 정보, 정치적 견해에 관한 정보, 건강·성생활에 관한 정보, 유전자 검사 결과로 얻어진 유전정보, 범죄경력자료에 해당하는 정보가 포함된다.

그러나 대부분 고유식별정보와 민감정보를 수집하면서 구분해 동의를 받지 않고, 일반동의만 받는 사례가 많은 것으로 드러났다. 또한, 동의를 거부할 권리가 있다는 사실이나 동의 거부에 따른 불이익에 대해 고지하지 않는 경우가 상당수 있다는 게 행자부 측의 설명이다.

이와 관련 행자부 관계자는 “동의를 받을 때는 동의 및 미동의를 정보주체가 선택할 수 있도록 모두 표시해야 하며, 홈페이지 개발시 회원가입 없이 각종 게시판을 통해 개인정보를 수집하는 경우에도 개인정보 수집·이용에 관한 필수사항을 고지하거나 명시적 ‘동의’ 표시(체크) 제공이 필요하다”고 강조했다.

두 번째로 수강생 개인정보의 파기기간 설정 여부 및 기간 내 파기의 경우 온라인 회원 가입 등을 통해 수집해 보유하고 있는 개인정보(파일)는 수집목적이 달성되었거나, 보유기간이 경과된 경우에는 지체없이 보유기간 종료일로부터 5일이내 파기해야 한다. 따라서 학원에서는 이 부분을 반드시 확인해야 한다.

세 번째로는 접근권한 관리 및 암호화 설정 등 안전조치 여부다. 접근권한의 경우 업무 성격에 따라 팀별, 개인별로 접근권한이 차등으로 부여되어야 한다. 그러나 시스템 개발 초기시 부여된 관리자 권한, 디폴트 권한 등으로 일괄 부여되거나 퇴직자 계정을 삭제하지 않고 남겨 놓거나 업무 편의상 하나의 계정(ID)을 다수의 사용자가 사용하는 사례가 종종 발견되고 있어 지적사항으로 제기되고 있다.

암호화 설정 미흡의 경우도 마찬가지다. 와이어샤크(WireShark) 등의 프로그램을 통해 전송되는 패킷의 암호화 여부를 체크한 결과, 암호화하지 않고 전송되는 사례가 다수 발견되고 있다. 일례로 SSL 보안서버 구축을 했으나, 홈페이지의 소스코드를 수정을 하지 않아 데이터 전송 시 암호화되지 않는 경우가 있다. 또한 PC에 저장하거나 USB 등 매체를 통해 전달하거나 이메일 등의 첨부파일로 전송하는 경우 암호화하지 않고 전송하는 사례가 발견되고 있는 것이다.

마지막으로는 홈페이지 및 학원관리 시스템 수탁사 관리의 적정성이다. 위탁사는 수탁사와의 위탁계약 시 문서에 ①위탁업무 수행목적외 개인정보 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호조치에 관한 사항 ③위탁업무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤개인정보 접근제한 등 안전성 확보 조치에 관한 사항 ⑥위탁업무와 관련해 보유하고 있는 개인정보 관리현황 점검 등 감독에 관한 사항 ⑦수탁자가 준수해야할 의무를 위반한 경우 손해배상 등 책임에 관한 사항 등이 필수로 포함돼 있어야 한다.

하지만 계약서에 누설 금지 등의 사항만 포함하고, 필수사항을 누락한 사례가 많다는 게 행자부 측의 설명이다.

이와 관련 행자부는 앞으로도 학원에서 보유한 개인정보의 안전성 확보를 위해 학원의 개선 이행계획을 지속적으로 확인하고, 수강생관리 시스템을 개발·운영하는 IT전문 수탁사 점검을 통해 점검 사각지대인 소규모 학원에 대해서도 일괄적인 개선을 유도할 계획이다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)