허술한 개인정보보안... 실태와 보완할 점은
상태바
허술한 개인정보보안... 실태와 보완할 점은
  • 박건희 기자
  • 승인 2015.04.02 23:54
  • 댓글 0
이 기사를 공유합니다

최근 통신사, 포탈사이트 등에서 회원들의 개인정보가 해외로 유출되 는 사건이 자주 보고되었다. 개인정보는 개인의 사생활로 매우 중요한 정보이며, 상업, 범죄, 도용 등 악용될 수 있기 때문에 개인정보보안은 어떤 기관이든 중요하게 다루는 사항이다. 하지만 우리 학교 곳곳에서 는 학우들의 일부 개인정보를 쉽게 열람할 수 있는 취약점이 발견되었 다. 포탈에서는 증명사진을, URS에서는 학번과 전화번호를 쉽게 얻을 수 있었다. 이 외에 어떤 문제점들이 발견되었으며 이에 학교는 어떤 입장을 취하고 있는지 알아보았다 

 

ⓒ 박하린 기자
허술한 개인정보보안
우리 학교에서 제공하는 여러 서비스 중에는 개인정보보호가 제대로이루어지지 못하고 있는 부분이 많다. KAIST 통합예약서비스(URS)에서 일부 시설을 예약할 때, 사용자검색 메뉴에서 이름을 검색하면 학번, 전화번호 등의 정보가 나온다.
또한 우리 학교 포탈의 학사시스템에서는 약간만 조작하면 다른 사람의 학번으로 그 사람의 증명사진을볼 수 있었다. 한편 창의학습관 1층에 비치되어있는 성적발급기에서는주민등록번호 앞자리와 학번만 알면성적과 성적증명서에 기입된 개인정보를 열람할 수 있다.

취약점이 모여 더 큰 문제 만들어내
이 취약점들이 모이면 얼마나 자세하게 개인의 정보를 알 수 있는지본지 기자의 개인정보를 직접 찾아보았다. 먼저 URS에서 본지 기자의 이름을 검색해 학번과 전화번호를 얻을 수 있었다. 또한, 이 전화번호를인터넷에 검색해 SNS계정을 찾을 수있었다. 대부분의 사람은 SNS와 모바일을 연동시키기 때문에 SNS 계정을 쉽게 찾을 수 있다.
또한, SNS를 사용하는 많은 사람이 자신의 계정에 생년월일을 입력해놓기 때문에 주민등록번호 앞자리또한 쉽게 알 수 있다. 이를 이용해성적발급기에서 기자의 성적을 열람할 수 있었다.
포탈에 들어가 기자의 학생증 증명사진 또한 열람할 수 있었다. 조금씩 뚫려있는 구멍들이 모여 또 다른개인정보를 드러내는 셈이다.

개인을 알아볼 수 있는 모든 정보는 보호되어야
개인정보보호법 제2조에서는 개인정보를 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상등을 통하여 개인을 알아볼 수 있는정보’라고 정의하고 있으며, 해당 정보만으로는 특정 개인을 알아볼 수없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함하고있다. 따라서 증명사진은 명백한 개인정보이며, 학번 또한 개인정보에포함될 가능성이 높다.
학사정보팀 임범희 행정원은 “학번이 개인정보의 범주에 포함된다는뚜렷한 규정이 아직 존재하지 않는다”라며 “동국대학교의 경우 학번을 ‘준 개인정보’로 취급하며 보호해야 할 대상으로 규정하고 있지 않다”라고 설명했다.

증명사진을 볼 수 있는 포탈
증명사진은 개인정보보호법에서정의된 규정에 따라 개인정보에 포함된다. 하지만 우리 학교 포탈 학사시스템에 들어가 조작을 가하면, 타인의 증명사진을 볼 수 있었다.
담당자 학사정보팀 김범준 행정원은 증명사진이 개인정보에 포함되는지 알지 못했다고 밝혔다. 이 문제는 본지 취재 후 수정되어 현재는 타인의 사진을 열람할 수 없도록 보완되었다.

학번과 전화번호를 볼 수 있는 URS
우리 학교 통합예약서비스에서 교양분관과 중앙도서관 세미나실을예약하기 위해서는 참석자 명단을작성해야 하는데, 이때 직접 명단을작성하는 것이 아니라 사용자 검색을 통해 우리 학교 인사 데이터베이스에서 참여자를 선택하는 방식으로명단을 작성해야 한다.
사용자 검색을 했을 때, 동명이인을 구분하기 위해 이름 외 정보가 함께 노출된다. 하지만 이때 노출되는정보에는 학번, 학과, 전화번호, 이메일 등이 함께 보여진다. 전화번호는개인정보보호법에서 규정하고 있는개인정보의 범위에 포함된다.
경영정보팀 통합예약서비스 담당자 김찬우 행정원은 “법적으로 문제되는 점은 없지만 누군가가 수정을요구할 경우 고쳐야 한다”라고 말했다. 또한, “각 예약 시설의 담당 부서인 학술정보운영팀에서 특별한 지시사항이 없어 그대로 두고 있었다”라고 상황을 설명했다.

학번과 생년월일만 있으면 성적발급 가능해
창의학습관 1층에 비치된 성적발급기에서는 성적증명서와 재학증명서를 발급할 수 있다. 하지만 이때요구하는 개인 식별 정보는 학번과생년월일뿐이다. 학번과 생년월일은공공연하게 노출되어 있는 개인정보기 때문에 마음만 먹으면 남의 성적또한 열람할 수 있는 것이다.
학적팀은 이러한 문제를 인식하고 있었으며 이를 해결하기 위한 내부 논의를 진행해왔다. 학적팀 김건철 팀장은 “내부 논의를 지속적으로 진행해왔으나 뾰족한 수가 없어방치할 수밖에 없었다”라고 설명했다. 김 팀장은 성적발급기가 기존에는 주민등록번호 뒷자리를 요구했으나, 개인정보보호법이 수정되어 주민등록번호 뒷자리 수집이 불가능해져생년월일을 요구하게 되었다고 설명했다.
또한, 포탈 계정을 도입하고자했으나 이 역시 불가능했다고 전했다. 학적팀 오민준 행정원은 성적발급기에 내장되어있는 컴퓨터는 우리학교 메인 서버에 연결되어있지 않은독립된 컴퓨터여서 해킹의 가능성이높기 때문이라고 설명했다.

과거에도 존재한 유사 사례
이전에도 유사한 사례가 존재했다. 2012년, 학사정보팀에서 제공하는한 서비스에서 강의 출석부를 출력하면 수강생들의 증명사진까지 함께다운로드 되는 현상이 있어 이를 보완한 바 있다. 당시에는 사진이 유출되는 것이 문제가 된다고 판단해 문제점을 고쳤으나 학사시스템에서 타인의 사진을 열람할 수 있다는 점은고쳐지지 않고 있었다.
또한, 출장 및 연구비용 관리 시스템(ERP)에서 출장비용을 청구할때, 동행자의 주민등록번호가 노출되던 문제도 존재했다. 이 또한 경영정보팀이 뒤늦게 발견해 지금은 보완된 상태이다.

개인정보 영향평가
미래창조과학부에서는 5만 명 이상의 민감정보 또는 고유식별정보가 포함된 개인정보파일을 구축, 운용 또는 변경하는 소속기관은 ‘개인정보 영향평가’를 2016년까지 마쳐야한다는 지침을 내렸다. 개인정보영향평가는 안전행정부 장관이 지정한 평가기관으로부터 받는 개인정보보안에 대한 평가다. 이때 개인정보에 대한 보안이 잘 이루어지고 있는지 평가가 내려지며 우리 학교의 경우 인사팀에서 담당해 올해 안에 평가를 마칠 예정이다. 개인정보 영향평가가 진행되면 개인정보에 대한 정확한 기준이 마련되게 되며 미처 보이지 않았던 보안 취약점까지 드러나게 된다.
 
잘 갖추어지지 않은 약관 동의 시스템
우리 학교의 여러 부서에서는 다양한 서비스를 제공하고 구축하기위해 인사팀으로부터 등록되어 있는사람들의 개인정보를 받아 사용한다. 경영정보팀 김찬우 행정원은 “각부서에서 개인정보를 가져간다는 사실을 개개인에게 알리지 않으며, 개인정보 사용 약관을 동의 받는 시스템이 잘 갖추어지지 않다”라고 말했다.
한편, 우리 학교의 경우 미래창조과학부 개인정보 보호지침 제34조에 의해 개인정보보호 책임자는 개인정보주체로부터 개인정보 정정 혹은 삭제 요청을 받았을 때 이를 10일 이내에 처리해야 할 의무가 있다.
김 행정원은 개인정보를 정정해야 하거나 자퇴를 할 때 정정 혹은 삭제를요청할 창구가 제대로 마련되어있지않다고 견해를 밝혔다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
이슈포토