SW SW

[이슈플러스] 개인정보 年 93만건 모이는데…위탁용역·운영기준 '깜깜'

공공 온라인 설문 '보안 사각지대'
미성년자·부모 신상정보 넘어
계좌번호·주민번호까지 요청
외부 플랫폼 위주…통제 불가
개인정보 파기 명시 6% 그쳐

Photo Image

공공기관의 대국민 업무가 빠르게 온라인 중심으로 전환되면서 온라인 개인정보 수집 사례가 급증하고 있다.

하지만 개인정보 보호 조치가 충분히 이뤄지지 않아 침해사고 위험에 노출될 수 있다는 지적이 나온다. 개인정보보호법은 수집·이용에 대한 원칙을 규정하고 있지만, 온라인 설문에 대한 구체적 운영 실무 기준은 미비해서다.

◇공공설문, 개인정보 年 93만건 수집

온라인 설문·모집 업무는 더이상 일시적이거나 부수적 행정 작업으로 보기 어려워졌다.

공공기관도 만족도 조사, 정책 의견 수렴, 행사 신청, 기자단·서포터즈 모집, 각종 참여 프로그램 접수 등 다양한 이유로 온라인을 통해 정보를 수집해서다.

특히 단순 만족도, 정책 의견뿐 아니라 이름, 연락처, 이메일, 소속, 학교 정보 등의 개인정보를 반복적으로 수집하면서 관리의 중요성이 커지고 있다. 미성년자와 부모의 신상 정보를 동시에 요구하거나 계좌번호, 주민등록번호와 같은 민감 정보 입력을 요청하는 사례도 다수 확인되고 있다.

하지만 이렇게 수집된 정보는 관리 기준 공백으로 사각지대에 놓여 있다.

더불어민주당 박상혁 의원실이 와이즈인컴퍼니에 의뢰해 진행한 조사 보고서에 따르면 공공기관이 '보안요건 미검증' 설문도구를 통해 수집한 정보는 연간 97만8000건에서 163만건으로 추산된다. 특히 이중 55만6000~92만6000건은 개인정보를 포함했을 것으로 분석됐다.

앞으로도 업무 효율성, 접근성 등을 이유로 보안성이 검증되지 않은 범용 온라인 설문도구 활용은 더욱늘어날 것으로 예상된다.

◇외부 플랫폼 쏠림…자체 시스템 1.1% 불과

실제 대다수의 공공기관은 외부 플랫폼에 의존하고 있는 것으로 나타났다. 자체 도구를 사용하는 곳은 극소수에 불과했다.

와이즈인컴퍼니는 조사 대상 117개 기관 중 1년 내 설문조사를 진행한 90개 기관 가운데 97.8%(88개)가 외부 플랫폼을 사용했다고 설명했다. 네이버(58.9%), 구글(21.1%)이 압도적이었으며 모아폼(6.7%), 유레카(5.6%) 등이 뒤를 이었다.

반면 자체 시스템을 활용한 공공기관은 지방공기업 1곳(1.1%)에 불과했다. 대부분 기관이 별도 시스템 구축을 시도하지 않는 실정이다.

특정 서비스가 특정 기업 서비스가 '항상 위험'이라고 단정할 수는 없다.

하지만 공공기관이 반복적으로 개인정보를 수집하면서도, 접근권한·로그·보관·파기·위탁 공개 등을 기관이 스스로 설명하고 증빙할 수 있는 운영체계를 갖추지 못한 것이 정책적 취약점이라고 보고서를 강조했다.

이 같은 구조에서는 위탁 관리 여부, 국외 이전 여부, 접근권한 통제, 데이터 보관·파기, 공개 설정 등 주요 개인정보 처리 요소를 담당자가 명확하게 확인·점검하기 어렵다는 설명이다.

◇위탁 용역도 '구멍'

외부에 위탁되는 조사·리서치 용역도 관리가 제대로 되지 않고 있다.

과업요청서(RFP) 등 발주 문서 단계에서 개인정보 처리 기준이 충분히 명시되지 않아, 어떤 도구를 사용하고 어떻게 보관·파기해야 하는지에 대한 기준이 현장에 맡겨지는 구조로 나타났다.

와이즈인컴퍼니가 100개 기관 RFP를 분석한 결과 개인정보를 수집한 과제는 67개였고, 이중 개인정보 파기 기준을 명시한 건 4개(6%)뿐이었다. 조사 도구 사용 기준까지 포함한 경우는 1개(1.5%)에 불과했다.

RFP는 용역 수행기관이 어떤 방식으로 설문을 운영하고, 어떤 도구를 사용하며, 조사 결과와 응답자 정보를 어떻게 다룰지를 규정하는 문서다.

이러한 조사 결과는 용역 수행 과정에서 개인정보 관리의 공백으로 이어질 수 있는 우려를 나타낸다.

뿐만 아니라 일부 RFP에서는 조사 수행 방식에 구글·네이버폼 등 민간 설문도구를 명시적으로 활용할 수 있도록 기재한 사례도 확인됐다.

실무자들이 관행적으로 보안요건 충족 여부가 확인되지 않은 설문도구 사용이 사실상 허용되고 있었다는 것이다.

박상혁 더불어민주당 의원은 “공공기관이 개인정보를 수집하면서도 처리 전 과정에 대한 통제와 책임을 확보하지 못하고 있다는 점이 핵심 문제”라며 “공공 영역에서 개인정보 수집과 관리 기준을 보다 명확히 할 필요가 있다”고 말했다.


박진형 기자 jin@etnews.com

관련 기사

이슈플러스

주요 행사

SW 많이 본 뉴스

  1. 1 구글, 20배 큰 모델 성능 넘어선 개방형 AI '젬마4' 공개
  2. 2 “국방 AI '골든타임'은 지금…획득 체계·인프라 혁신 관건”
  3. 3 MS, 음성·이미지 생성형 AI 모델 공개…“최첨단 AI 자립 이룰 것”
  4. 4 보안특위, CSAP 개편 착수… 'N2SF' 기반 국가 보안 패러다임 바꾼다
  5. 5 [국방AX 토론회] 설명·신뢰·통제 가능한 국방 AI 필요…전군 호환체계 구축해야
  6. 6 [국방AX 토론회] 부승찬 의원 “국가 전략 차원 논의”·유용원 의원 “AI 3대 법안 추진”
  7. 7 나무기술, 김화중 신임 사장 선임…공동대표 체제 전환
  8. 8 “책임 없는 AI 에이전트, 모든 작업 검증·통제해야”
  9. 9 스캐터랩, AI 챗봇 '제타' 가입자 600만 돌파…일본서 2배 성장
  10. 10 공공 온라인 설문, 개인정보관리 사각지대

주요뉴스

브랜드 뉴스룸