'1만명 정보유출' 경기대, 이번엔 거짓 해명 논란

"개인정보위 판단 받았다" 했지만
개인정보위 "단순 개념 질의였을 뿐"
학교 측 "전달 과정 오류…대응 만전"

경기대학교 전경. 경기대 제공

 

경기대학교가 국가장학금 Ⅱ유형 수혜 학생 1만여명의 개인정보를 유출(경기일보 22일자 6면 등)한 사태와 관련, 대학 측이 유출 피해 학생들에게 초동 대처 미흡 이유를 해명하면서 거짓 해명을 했다는 의혹이 나왔다. 대학 측은 이번 사태를 인지했을 당시 ‘노출’이라고 판단한 배경에 개인정보위원회가 있다고 말했지만, 이는 사실이 아닌 것으로 확인됐다.

27일 경기일보 취재를 종합하면 대학 측은 지난 22일 개인정보가 유출된 학생들(2020학년도 1학기~2022학년도 2학기 장학금 수혜자)에게 문자메시지를 보내 이 같은 사실을 알렸다. 이는 처음 파일이 등록된 시점에서 1년 8개월, 대학 측이 유출 사실을 인지한 시점에서 50일이 지난 뒤 이뤄진 조치였다.

이에 일부 학생은 학교 측에 피해 통보가 늦어진 이유에 대해 질의했다.

그러자 학교 측은 “개인정보보호위원회에 판단을 요청했고, 노출로 판단을 해줘 그렇게 통보하지 않았던 것”이라고 설명했다. 개인정보보호법상 유출의 경우 5일 이내 반드시 정보 주체, 즉 피해자에게 통보해야 하지만 노출은 통보 의무가 없다.

학교 측의 설명에 학생들은 개인정보보호위원회가 이번 사안을 노출로 유권해석 해줬다고 받아들였지만, 이는 사실이 아니었다.

개인정보보호위원회에 따르면 경기대는 졸업생으로부터 관련 민원을 받은 지난 2월2일 위원회 법령해석센터로 전화를 걸어 경기대라는 것도 밝히지 않은 채 유출과 노출이 무엇인지에 대한 개념을 질의했다. 위원회 관계자는 “유출과 노출의 개념에 대해서 설명만 해준 것일 뿐 이번 사안에 대해 해석을 받은 건 아니다”라고 말했다.

이와 관련, 경기대는 전달 과정에서 오류가 있었을 뿐 책임을 회피하기 위한 것은 아니었다고 해명했다. 대학 관계자는 “전달 과정에서 얘기를 잘 못 한 것 같다”며 “지금 대학은 이번 사안을 유출로 보고 그에 맞는 대책을 마련하고 있으며, 고강도의 원인규명과 재발방지 프로세스 마련, 관련자 교육 등의 매뉴얼 재정비, 확인된 피해에 대한 보상을 원칙으로 하고 있다”고 말했다. 이어 “다시는 이런 일이 일어나지 않도록 시스템을 구축해 나가겠다”고 덧붙였다.

한편 이번 사태에서는 유출 파일 속 주민등록번호가 암호화되지 않은 채 저장된 점도 문제로 지적되고 있다. 관련법상 개인정보처리자는 주민등록번호 등을 수집한 후 데이터베이스(DB)화할 때 암호화처리해 저장하도록 규정돼 있기 때문이다.

이에 개인정보보호위원회는 한국인터넷진흥원과 함께 이러한 부분을 포함, 이번 유출 사태에 대한 전반적인 부분에 대해 살펴볼 계획이다.

김경희 기자 gaeng2da@kyeonggi.com