SKT, 카이스트와 헌혈자 행동패턴 분석해 헌혈증진방안 연구 목적으로 자료 건네
개인정보 중 가명정보에 해당할 가능성이 높은 정보들...가명정보 역시 개인정보에 해당
[보안뉴스 원병철 기자] 대한적십자사가 SKT, 카이스트와 함께 MOU 체결 당위성 설명 시연회를 위해 허가없이 카이스트에 헌혈자의 정보가 담긴 헌혈 정보 약 176만건을 제공한 것으로 알려졌다. 더불어민주당 최혜영 의원은 12일 혈액 수급과 및 헌혈자 혈액 정보관리 등 혈액 사업 전반의 업무를 수행하는 대한적십자사가 지난해 외부 민간기관에 헌혈자 정보가 담긴 정보를 무단으로 전달한 것으로 확인되었다고 밝혔다.
[이미지=utoimage]
대한적십자사에서 보건복지위 소속 최혜영 의원에게 제출한 자료에 따르면, 지난해 9월 대한적십자사 혈액관리본부 소속 A직원은 민간기관과 다자 업무협약을 추진하던 중 헌혈자의 정보가 담긴 헌혈 정보 약 176만 건을 ‘MOU 체결의 당위성 설명을 위한 시연회’사용 목적으로 외부민간기관(카이스트)에 허가없이 임의로 제공한 것으로 나타났다.
▲헌혈자 정보 무단 제공 관련 징계의결서[자료=최혜영 의원실]
해당 자료는 SKT와 카이스트의 제안으로 헌혈자의 행동패턴을 분석해 헌혈증진방안을 연구할 목적으로 제공됐는데, △헌혈장소 △성별 △직업군 △헌혈종류 △나이 △헌혈구분 △혈액형 △헌혈종료시간 △기념품 수령 내역 등 총 9종의 정보가 포함되어 있는 것으로 확인됐다.
한편, 해당 사건과 관련한 법 위반여부 검토 결과에 따르면 “해당 외부유출자료는 개인정보보호법상 개인정보 중 가명정보에 해당할 가능성이 높다”는 답변과 함께 “가명정보 역시 ‘개인정보’에 해당한다”는 답변을 받은 것으로 드러났다. 또한, 통신사인 SKT가 자체적으로 보유, 수집, 처리 또는 접근할 수 있는 정보가 해당 유출자료와 결합해 개인을 식별할 수 있는 내용이라면, 해당 자료는 개인정보에 해당할 가능성이 있다고 가능성을 열어둔 바 있다.
▲외부 유출자료 개인정보 해당 여부 관련 법률자문 답변서[자료=최혜영 의원실]
외부 민간기관에 자료를 제공할 당시는 협약이나 용역사업 추진을 위한 내부결재도 선행되지도 않았던 시기인 것으로 확인됐는데 현재까지도 해당 기관과 실질적인 협약이나 용역계약은 체결되지 않고 있는 것으로 나타났다.
문제는 외부기관으로 무단반출된 이후, 제3의 기관으로 가공 자료가 전송되는 등 추가 유출이 발생했음에도 대한적십자사에서는 사건에 가담한 두 직원에 대해 절차상의 문제로 ‘감봉 3개월’, ‘견책’의 솜방망이 처분을 내렸고, 해당자는 ‘이름’, ‘주민번호’ 등 개인을 특정할 수 있는 정보가 없어 단순 자료라는 점 때문에 반출된 사실에 큰 문제가 없다는 입장을 보이고 있는 것이다.
심지어 해당 사건이 수면 위로 떠오른 것은, 익명의 제보자가 대한적십자사 헬프라인을 통해 2차례에 걸쳐 신고접수를 해 비로소 점검 절차를 밟게 된 것으로 확인됐다.
▲2020년 대한적십자사 혈액관리본부 개인정보보호 실태점검 결과[자료=최혜영 의원실]
그렇다면 이번 사건에 책임이 있는 대한적십자사는 현혈관리본부의 개인정보 보호활동에 대해 제대로 점검하고 있었을까? 대한적십자사에서는 개인정보보호법 및 대한적십자사 지침에 따라 매년 기관의 개인정보 관리실태 및 개인정보 보호활동 등을 점검하고 있는데, 혈액관리본부는 2020년 점검에서는 5개 부문 중 3개 부문에서 100점을 받았던 것으로 드러났다.
이 중에는 제3자 제공 절차에 평가항목이 포함된 ‘보호대책 부문’에서도 ‘만점’을 받은 것으로 확인되어 대한적십자사 정보보안 평가 관리에 대한 미비점이 확인됐다는 지적이다.
이에 최혜영 의원은 “헌혈자의 혈액정보는 상당히 민감한 정보로써 지침에 따라 엄격히 관리되어야 함에도 176만 건이 아무런 근거나 형식적 절차 없이 제공된 것은 대한적십자사의 안일한 개인정보 관리 인식을 보여주는 사례이다. 헌혈자 및 혈액정보관리에 허점이 생기지 않도록 직원 기강은 물론 실태점검을 통해 대책을 마련할 필요성이 있다”고 지적했다.
[원병철 기자(boanone@boannews.com)]
개인정보 중 가명정보에 해당할 가능성이 높은 정보들...가명정보 역시 개인정보에 해당
[보안뉴스 원병철 기자] 대한적십자사가 SKT, 카이스트와 함께 MOU 체결 당위성 설명 시연회를 위해 허가없이 카이스트에 헌혈자의 정보가 담긴 헌혈 정보 약 176만건을 제공한 것으로 알려졌다. 더불어민주당 최혜영 의원은 12일 혈액 수급과 및 헌혈자 혈액 정보관리 등 혈액 사업 전반의 업무를 수행하는 대한적십자사가 지난해 외부 민간기관에 헌혈자 정보가 담긴 정보를 무단으로 전달한 것으로 확인되었다고 밝혔다.
[이미지=utoimage]
대한적십자사에서 보건복지위 소속 최혜영 의원에게 제출한 자료에 따르면, 지난해 9월 대한적십자사 혈액관리본부 소속 A직원은 민간기관과 다자 업무협약을 추진하던 중 헌혈자의 정보가 담긴 헌혈 정보 약 176만 건을 ‘MOU 체결의 당위성 설명을 위한 시연회’사용 목적으로 외부민간기관(카이스트)에 허가없이 임의로 제공한 것으로 나타났다.
▲헌혈자 정보 무단 제공 관련 징계의결서[자료=최혜영 의원실]
해당 자료는 SKT와 카이스트의 제안으로 헌혈자의 행동패턴을 분석해 헌혈증진방안을 연구할 목적으로 제공됐는데, △헌혈장소 △성별 △직업군 △헌혈종류 △나이 △헌혈구분 △혈액형 △헌혈종료시간 △기념품 수령 내역 등 총 9종의 정보가 포함되어 있는 것으로 확인됐다.
한편, 해당 사건과 관련한 법 위반여부 검토 결과에 따르면 “해당 외부유출자료는 개인정보보호법상 개인정보 중 가명정보에 해당할 가능성이 높다”는 답변과 함께 “가명정보 역시 ‘개인정보’에 해당한다”는 답변을 받은 것으로 드러났다. 또한, 통신사인 SKT가 자체적으로 보유, 수집, 처리 또는 접근할 수 있는 정보가 해당 유출자료와 결합해 개인을 식별할 수 있는 내용이라면, 해당 자료는 개인정보에 해당할 가능성이 있다고 가능성을 열어둔 바 있다.
▲외부 유출자료 개인정보 해당 여부 관련 법률자문 답변서[자료=최혜영 의원실]
외부 민간기관에 자료를 제공할 당시는 협약이나 용역사업 추진을 위한 내부결재도 선행되지도 않았던 시기인 것으로 확인됐는데 현재까지도 해당 기관과 실질적인 협약이나 용역계약은 체결되지 않고 있는 것으로 나타났다.
문제는 외부기관으로 무단반출된 이후, 제3의 기관으로 가공 자료가 전송되는 등 추가 유출이 발생했음에도 대한적십자사에서는 사건에 가담한 두 직원에 대해 절차상의 문제로 ‘감봉 3개월’, ‘견책’의 솜방망이 처분을 내렸고, 해당자는 ‘이름’, ‘주민번호’ 등 개인을 특정할 수 있는 정보가 없어 단순 자료라는 점 때문에 반출된 사실에 큰 문제가 없다는 입장을 보이고 있는 것이다.
심지어 해당 사건이 수면 위로 떠오른 것은, 익명의 제보자가 대한적십자사 헬프라인을 통해 2차례에 걸쳐 신고접수를 해 비로소 점검 절차를 밟게 된 것으로 확인됐다.
▲2020년 대한적십자사 혈액관리본부 개인정보보호 실태점검 결과[자료=최혜영 의원실]
그렇다면 이번 사건에 책임이 있는 대한적십자사는 현혈관리본부의 개인정보 보호활동에 대해 제대로 점검하고 있었을까? 대한적십자사에서는 개인정보보호법 및 대한적십자사 지침에 따라 매년 기관의 개인정보 관리실태 및 개인정보 보호활동 등을 점검하고 있는데, 혈액관리본부는 2020년 점검에서는 5개 부문 중 3개 부문에서 100점을 받았던 것으로 드러났다.
이 중에는 제3자 제공 절차에 평가항목이 포함된 ‘보호대책 부문’에서도 ‘만점’을 받은 것으로 확인되어 대한적십자사 정보보안 평가 관리에 대한 미비점이 확인됐다는 지적이다.
이에 최혜영 의원은 “헌혈자의 혈액정보는 상당히 민감한 정보로써 지침에 따라 엄격히 관리되어야 함에도 176만 건이 아무런 근거나 형식적 절차 없이 제공된 것은 대한적십자사의 안일한 개인정보 관리 인식을 보여주는 사례이다. 헌혈자 및 혈액정보관리에 허점이 생기지 않도록 직원 기강은 물론 실태점검을 통해 대책을 마련할 필요성이 있다”고 지적했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
