지난달 2일 카이스트 상담센터(이하 상담센터)가 ARA에 개인정보가 포함되어 있는 자료를 유출한 것에 대한 사과문을 게시했다. 태울관에서 한 학생이 상담센터 자료가 든 상자 하나를 발견해 본지에 제보했고, 본지에서 상담센터에 자료 확인을 요청하고, 상담센터에서 과실을 인정해 사과문을 게시한 것이었다.

이번에 유출된 상담센터 자료는 보기에 따라 민감한 개인정보를 담고 있는 자료는 아니라고 생각할 수도 있다. 7~8년 전 신입생 진단검사 결과, 20여 년 전 성적 미달자 명단, 10여 년전 MBTI 검사 결과 해석 일지 등 자료가 생산된 시기가 오래돼서 현재 재학 중인 학생과 무관한 자료일 수도 있다. 하지만 누군가 악의적으로 이 자료를 이용한다면 졸업생 중에 뜻하지 않은 피해가 생길 수도 있었다. 아무리 사무실 이전 과정에서 실수로 발생한 사고였다고 하더라도, 개인정보, 특히 상담센터에서 다루는 의학적·정신적 개인정보는 허술하게 다루어져서는 안 된다.

이번 상담센터의 개인정보 유출 사고가 2차 사고로 이어지지 않고 수습된 것은 다행한 일이다. 이 사고가 전화위복의 계기가 되려면, 우선 학내에서 개인정보 관리가 어떻게 이루어지고 있는지 근본적으로 재검토되어야 한다. 연구기관이면서 교육기관인 우리 학교는 매일 엄청난 양의 개인정보를 담은 자료가 생산된다. 연구와 실험 과정에서 수집된 개인정보는 CITI프로그램이나 생명윤리심의위원회 등에서 관리 기준과 절차가 규정돼 있다. 하지만 교육 과정에서 생산·수집된 개인정보를 어떻게 처리해야 하는지에 대해서는 뚜렷한 규정도 관리도 이루어지지 않고 있는 것이 현실이다.

시험 답안지와 보고서는 몇 년 동안 보관해야 하며 어떠한 방식으로 폐기되어야 하는지 학교에 규정이 있는지도 불분명하며, 설령 있다고 하더라도 그것을 숙지하고 있는 교수도 많지 않다. 그저 몇 년 동안 보관하다가 나름의 방식으로 폐기하고 있는 것이 현실이다. 파쇄기로 폐기되지 않은 채 쓰레기나 재활용 폐지로 처리되는 개인정도도 적지 않다.

원칙적으로 개인 식별이 가능한 자료는 사소한 설문지 하나라도 철저하게 관리되어야 한다. 매일 같이 수많은 개인정보를 담은 자료가 생산되는 교수 연구실에 서류분쇄기 하나 마련돼 있지 않다면 문제가 있는 것이다. 사소한 보고서 한 장이라도 개인 식별이 가능한 상태로 유출된다면, 악의적으로 이용되지 말라는 보장이 없다.

이번 상담센터의 개인정보 유출 사고는 개인정보 보호가 생활화되지 않은 우리 학교의 관행에서 비롯된 것으로 언제 어느 부서에서 또 다른 사고가 일어날지 알 수 없다. 더 큰 사고를 예방하기 위해서라도 개인정보를 담고 있는 문서의 범위와 보관 및 폐기 절차에 대해 학교 차원에서 재점검할 필요가 있다.