공공기관의 온라인 설문조사가 개인정보 유출 통로로 악용될 수 있다는 경고가 나왔다. 비인증 설문 도구와 개인 계정 기반 운영이 맞물리면서 수집된 개인정보가 다크웹에서 거래되는 등 범죄로 이어질 수 있다는 우려다.
김원표 와이즈인컴퍼니 대표는 29일 국회의원회관에서 더불어민주당 박상혁 의원실이 주최한 토론회에 참석해 “개인정보는 다크웹에서 건당 3만~7만원 수준에 거래되고 있다”며 “이름, 연락처, 주소 등 여러 데이터가 결합되면 개인의 거주지, 가족관계, 소득 수준 등 구체적인 생활 정보가 드러나 보이스피싱 등 범죄로 이어질 수 있다”고 밝혔다.
와이즈인컴퍼니가 공공기관 117곳을 대상으로 실시한 조사에 따르면 약 78% 기관이 네이버폼·구글폼 등 보안이 검증되지 않은 외부 설문 도구를 사용했다. 공공기관은 주민등록번호, 계좌번호, 보호자 연락처, 영상 자료 등 민감 정보까지 외부 플랫폼으로 수집했다. 또 개인 계정으로 설문을 진행하는 등 관리가 소홀한 것으로 드러났다.
김 대표는 “공공기관 온라인 개인정보 수집 업무에 대한 공통 기준을 마련하고, 클라우드 보안인증(CSAP) 획득 등 보안이 입증된 설문도구 사용을 원칙으로 해야 한다”며 “현장에서 바로 적용할 수 있는 구체적인 절차와 기준이 필요하다”고 강조했다.
데이터 관리 체계의 구조적 한계도 지적됐다. 공공기관들이 단일 플랫폼을 통해 가시성을 확보한 뒤 통합관리 해야한다는 조언이다.
김범진 이노비즈협회 부회장(타이거컴퍼니 대표)은 “공공기관 데이터는 메신저, 이메일, 클라우드 등 다양한 경로에 분산돼 있어 어디에 어떤 정보가 있는지조차 파악하기 어려운 경우가 많다”며 “해킹보다 더 큰 문제는 데이터가 방치되는 구조”라고 말했다.
개인정보 보호 체계가 문서 중심 체크리스트로 관리되고 있어 개선이 시급하다는 지적도 나왔다.
김도곤 한국준법진흥원 위원(프라이버시지 대표)은 “현재 공공기관 개인정보 관리는 문서가 존재하는지 여부에 초점이 맞춰져 있다”며 “실제 현장에서 해당 기준이 제대로 이행되고 있는지 확인하기 어렵다”고 꼬집었다. 이어 “문서 중심 관리에서 벗어나 운영 기록과 증빙 기반으로 전환해야 한다”고 덧붙였다.
최경진 가천대 교수(좌장)은 “구체적인 사례를 기반으로 문제를 드러내고 개선 방안을 도출하는 과정이 개인정보 보호 수준을 높이는 출발점”이라며 “이 같은 논의가 실제 정책과 현장 변화로 이어지길 기대한다”고 말했다.
박진형 기자 jin@etnews.com
