[보안뉴스 김정완] 보건복지부가 국민연금관리공단(이하 ‘연금공단’) 부산콜센터 직원의 개인정보 대량 무단반출과 관련해 개인정보 보호실태 등에 대해 지난 6월17일부터 7월2일까지 특별감사를 실시했다.

특히 이번 사건은 연금공단 설립 이후 사건규모와 개인정보 열람건수에 있어서 최대 규모의 사건이었다. 그럼에도 연금공단은 개인정보 관리 문제뿐만 아니라 그에 대한 징계는 송방망이에 그쳤던 것으로 드러났다. 이에 보건복지부가 연금공단에 대해 특별감사를 통해 드러난 실태를 자세히 알아봤다.

◇ 개인정보 무단열람에 따른 징계조치는 말그대로 ‘솜방망이’

연금공단 부산콜센터 4급 정모씨는 처와 함께 지난 2008년 11월 10일부터 2009년 8월 28일 기간 동안 정보분석시스템(Pension Data Warehouse, PDW) 등을 통해 ‘사업장 자격취득명부’ 등 857,721건의 개인정보를 조회했다.

여기에는 구직급여 수급내역 229,330건과 국민연금 가입자격 28,342건이 포함돼 있는 것으로 확인됐다.

이에 경영정보지원부는 2009년 9월 8일에 위 조회 사실을 확인하고 감사를 의뢰했고, 이에 모 감사실은 2009년 9월 21일부터 12월 16일까지 감사를 실시했다.

이에 모 감사실은 감사 실시 후인 2010년 2월 10일에 상급자와 정모씨의 처에 대해 ‘경고’ 처분하고, 정모씨는 ‘적극행정면책제도’를 적용해 ‘경징계’를 요구했으나, 징계위원회는 3월 2일 이보다 중한 중징계인 ‘정직’ 1월로 의결했다.

◇ 송방망이 징계 후 성폭행 사건 발생하고 또다시 개인정보 무단 조회

그 후 정모씨는 특수 강도·강간 등의 형사사건으로 6월 4일 경찰에 구속되는 사건이 발생한다.

정모씨는 연금공단 차세대정보시스템(National Pension Information Service, NPIS) 검색기능을 통해 성폭행 피해자(35세)의 개인정보를 무단열람 및 조회(2010.5.30, 19:42~20:10)했고, 피해자와 성명·주민번호가 유사한 59명의 개인정보를 무단열람하고, 이 중 동명이인 2명의 자격원부·세대원·소득 등도 무단 조회한 것으로 드러났다.

◇ 형사사건 기소 중인 직원에 사표를 곧바로 수리?

이후 정모씨가 특수 강도·강간 등 형사사건으로 6월 4일, 경찰에 구속되자 정모씨의 부인이 대신 6월 7일 제출한 사표를 공단 측은 다음날 곧바로 수리했다.

이에 이를 특별감사한 보건복지부 감사담당관실 측은 “형사사건 기소 중인 직원에 대한 의원면직 처리는 부적정하다”고 말했다.

6월 8일, 정씨의 사표를 접수·처리함에 있어, 6월 4일 이미 부산콜센터 사건보고를 통해 개인정보 대량 무단반출 사실을 알고 있었고, 특수 강도·강간 등 형사처벌 대상임을 쉽게 알 수 있었음에도 이러한 사후처리는 개인정보보호의 의무, 개인정보취급자의 의무, 품위유지의 의무 등 제규정을 위반한 행위라는 것.

즉 정모씨의 행위는 성실의무 및 개인정보보호 위반 사항에 해당돼 징계의결을 요구해야 함에도  징계위원회 회부 문제를 검토하지 않은 채 곧바로 사표를 수리함으로써 정모씨를 파면·해임 등의 징계조치를 면하게 하고 취업제한 규정의 적용이 배제되도록 하는 결과를 초래한 것이다.

◇ 사건발생 후 면피 위한 ‘개인정보보호 강화대책’ 수립은 이제 그만!!

또한 정보시스템실은 위 정모씨의 사건과 관련해 6월 10일 ‘개인정보보호 강화대책’을 수립하면서, 정모씨의 개인정보 무단열람 및 조회, 개인정보 대량 무단반출 등의 자체 모니터링 결과에 대한 소명내용(6.4) 및 부산콜센터 사건보고(6.4) 등을 통해 충분히 인지하고도, 사건의 발생 원인을 철저히 파악하지도 않은 채 이러한  대책을 수립함으로써 유사 사건의 재발 방지방안 및 제도상 미비점 보완대책 등을 반영하지 않았다는 지적이다.

이에 특수 강도·강간 등으로 기소 중인 직원에 대해 징계요구 등의 아무런 검토 없이 사표를 수리한 모부장 징계 등의 조치(징계, 경고)가 취해졌다. 또한 이와 관련해 사법기관의 조사 또는 수사 중인 직원 등의 의원면직을 제한하는 규정을 신설(개선)했다.

◇ 예견된 개인정보 무단 연람...애초에 부산콜센터 개인정보 출력물 관리 부적정

특히 콜센터는 ‘개인정보보호업무 예규’ 등에 따라 개인정보 출력물의 발생일자·자료량·사용목적·주요내용·폐기일자 등을 ‘출력관리대장’에 기록·관리해야 함에도 정모씨가 수개월 기간 중 PDW에서 다운로드 받은 857,721건 중 자체 감사에서 회수한 약 265,000건 외는 실제 출력여부, 출력내용, 외부 유출, 폐기여부 등을 확인할 수 없는 등 개인정보 출력물 관리를 태만히 한 것으로 드러났다.

콜센터는 ‘콜센터업무요령’ 등에 따라 콜센터의 ‘상담접수 대장’ 및 ‘확인대장’ 등 각종 대장을 결재권자의 결재를 받아 기록물로 편철·관리해야 함에도 정모씨는 2007년 1월부터 2010년 5월 퇴직 전까지 부산콜센터에서 일과 중 정상업무를 처리하면서 출력·편철해야 할 개인정보 출력물 총 75,802건 중 32,914건(43.4%)을 보존문서에 편철하지 않았다.

콜센터는 정모씨가 자신의 업무가 아니고 출력할 필요가 없는 콜센터 공동 활용 개인정보 64천여건을 출력·보관하고 있음에도 아무런 조치를 하지 않았던 것이다.

부산지역본부 및 부산콜센터는 부산콜센터의 개인정보 출력물 기록·관리 및 기록물 보관 등과 관련해 편철 누락, 불필요한 개인정보 출력 등의 실태점검을 제대로 해야 함에도 정모씨가 임의로 보관 중이던 개인정보 출력물(96천여건)을 확인하지 못하는 등 실태점검을 제대로 하지 못한 것이다.

또한 부산콜센터에서는 결재 오류 등으로 보관할 필요가 없는 2010년 3월분 ‘임의(계속) 가입자 가입 전화상담대장’ 43매(총 185건)를 즉시 폐기하지 않고 캐비넷에 보관하고 있었던 것도 문제로 지적됐다.

◇ 개인정보 보호 의무 위반자 조치요구 등도 부적정

2009년 9월 21일부터 12월 16일 기간 중 정모씨가 개인정보 과다열람 건에 대한 조사를 통해 ‘적극행정 면책제도’를 적용하면서 의무위반 등 위법·부당행위는 그 대상이 될 수 없고, 능동적 업무 처리행위 중 공익성·투명성·타당성 요건을 검토해 이에 적합할 경우에 적용이 가능한데, 정모씨의 개인정보 과다열람 건은 개인정보보호 의무 관련 제규정을 위반한 위법·부당행위로서, 상급자 승인결재 등을 받지 않아 면책요건 중 투명성과 타당성이 결여됐다는 지적이다.

본인 및 동료 직원들의 진술, 열람 및 조회이력 등의 정황만 보아 업무 제안을 위한 ‘적극행정 면책제도’ 적용대상이라고 판단하고 이를 적용한 것이기 때문이다.

또한 정모씨의 처가 남편을 도와 처리한 ‘개인정보 무단열람 및 조회’ 행위는 개인정보보호 의무의 제규정 위반으로 징계요구 대상임에도 남편의 강요에 따른 행위였고, 부부가 동시 처벌받게 되는 중대 위법사항이 아니고, 평소 근무태도 등을 감안해 처분양정을 경감 적용해 경고 조치로 종결한 것도 문제다.

아울러 정모씨를 징계조치 후 보직변경 등 적절한 조치를 강구하지 못해 유사 사건의 재발을 미리 차단하지 못한 결과를 초래케 했기 때문이다.

한편 이와 관련 보건복지부 측은 이번 특별감사를 통해 연금공단 측에 △개인정보보호 위반 시 처분기준 강화방안 별도 마련 △PDW 사용권한 축소, 결재 화면 개선, 출력물 이력관리 방안 및 출력물 폐기절차 마련 등 미비점 보완 △열람 부적정자 처분의 세부기준 마련, 반복적 부적정 열람 근절대책 수립 등 처분의 실효성 확보방안 강구 등의 개선 사항 및 △NPIS 사용 권한조정 및 회수 △NPIS 권한관리시템 운영지침 개선 △월 1회 권한관리에 대한 점검을 반드시 이행토록 조치(시정, 주의, 개선)할 것을 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>