공공기관이 민간 설문도구와 서비스형 소프트웨어(SaaS)에 의존하는 구조가 확대되는 가운데, 이를 통제할 수 있는 구체적인 실무 지침 마련이 시급하다는 지적이 나온다. 민간 서비스 활용이 불가피해지는 만큼, 데이터 입력부터 보관·관리까지 전 과정에 대한 기준을 마련해야 한다는 것이다.
최경진 가천대 교수는 “앞으로 공공기관이 민간 플랫폼이나 AI 서비스를 쓸 수밖에 없는 구조로 가고 있다”며 “문제는 어떤 서비스를 쓰느냐가 아니라, 그 안에서 데이터를 어떻게 입력하고 관리·감독할 것인지에 대한 기준”이라고 강조했다.
이어 최 교수는 “법은 기본 원칙을 제시하지만, 실무자가 어떤 도구를 선택하고 어떤 절차로 데이터를 처리해야 하는지까지 구체적으로 규정하지는 않는다”며 “결국 현장에서는 '어디까지 해야 하는지' 판단이 어려워지기 때문에 최소한의 공통된 운영 기준과 관리 지침을 만들어 제공해야 한다”고 덧붙였다.
실제 개인정보보호법은 최소 수집 원칙과 목적 달성 시 파기, 위탁 시 계약과 공개 의무, 처리방침 수립·공개 등을 규정하고 있으며, 주민등록번호 처리 역시 원칙적으로 제한하고 있다.
그러나 이러한 규정은 원칙적 수준에 머물러 있어 온라인 설문 등 실제 업무에 대한 적용 지침은 부재한 상황이다.
더불어민주당 박상혁 의원실·와이즈인컴퍼니가 공동으로 진행한 '공공기관 온라인 개인정보 수집 실태 조사'에서도 이러한 문제점이 여실없이 드러났다. 설문 도구 선택이나 데이터 보관·삭제 방식, 접근권한 통제 등에 대한 구체적 기준 없이 운영하고 있었다.
이에 실태조사 보고서를 집필한 와이즈인컴퍼니는 최우선 과제로 △온라인 개인정보 수집 업무 범정부 공통지침 제정 △보안이 입증된 설문도구·SaaS 우선 사용 원칙 도입 △설문 포함 용역 과업요청서(RFP) 표준문안 마련 등을 제시했다.
우선 공공기관의 온라인 개인정보 수집 업무 범위를 명확히 정의하고 적용 대상 정보, 적용 범위, 관리 원칙을 포함한 범정부 공통지침을 만들어야 한다는 것이다.
또 온라인으로 개인정보를 수집하는 경우 보안이 입증된 설문도구나 SaaS를 우선 사용하도록 하는 원칙을 마련해야 한다고 제안했다. 네이버·구글 폼과 같은 일반 상용 설문도구는 예외적으로만 허용하고, 사용할 경우 저장 위치와 접근권한, 보관·파기, 로그 관리 등 주요 항목을 별도로 점검해 책임을 입증하도록 하는 체계가 필요하다는 설명이다.
외주 영역에서의 개인정보 처리 기준 누락 예방 차원에서 RFP 표준문안 마련과 의무화도 시급한 과제로 꼽혔다. 표준문안에는 설문도구 사용 기준과 최소수집 원칙, 보관·파기 절차, 접근권한 관리, 로그 기록, 위탁 관리, 결과물 반납 등 핵심 항목을 포함해야 한다고 강조했다.
박상혁 의원실은 이번 조사 결과를 바탕으로 공공기관 온라인 개인정보 수집 관리체계 개선을 위한 정책 세미나를 개최할 계획이라고 밝혔다.
박진형 기자 jin@etnews.com
