합동점검하고도 정보유출 몰랐던 안행부, 왜?

개인정보보호합동점검단이 지난달 신용카드사에 대한 개인정보 관리실태를 검사하고도 정보유출 여부를 감지하지 못한 것으로 알려져 그 원인에 관심이 쏠리고 있다.


27일 금융권에 따르면, 안전행정부 산하 개인정보보호합동점검단(이하 합동점검단)은 지난달 신용카드사에 대한 개인정보 관리실태 현장검사를 실시했다. (☞관련기사 바로가기, 본지 1월 26일자 1면 참고)

최근 정보유출 사고가 발생한 국민, 롯데카드를 포함해 8개 전업카드사에 대해 현장검사를 실시했지만 정보유출을 감지하지 못한 것. 업무를 위탁할 때 외부 용역회사 직원에 대한 관리감독 문제까지 핵심 검사항목에 포함시켰던 것으로 알려졌다.

개인정보보호합동점검단은 부처별로 나뉜 개인정보보호 및 사후대처 시스템을 보완해 범정부차원의 개인정보 보호를 위해 지난 2012년 11월 국무총리 훈령으로 만들어진 조직.

행정안전부 정보화전략실 정보기반정책관이 행정안전부장관의 명을 받아 단장을 맡고 팀장과 팀원은 관계 행정기관 소속 공무원이나 관계기관·단체의 소속 직원들이 파견된다. 금융위에서 1명, 방통위 2명 등 각 관련 부처별 1~2명이 파견돼있다.


개인정보침해 모니터링 및 상황관리, 개인정보 침해사고 분석 및 전파 등 긴급조치에 관한 사항, 개인정보 침해 예방을 위한 관계 기관 및 단체와의 협력, 금융·의료·교육 등 분야별 개인정보보호 실태점검 및 합동조사 등을 목적으로 하고 있다.

이 밖에 개인정보유출 피해 복구 및 피해확산 방지를 위한 기술지원에 관한 사항, 개인정보 침해사고 합동대응을 위해 필요한 사항을 수행하는 것도 합동점검단의 기능 중 하나다.

이에 따라 각종 홈페이지의 개인정보 노출현황을 사전 모니터링해 삭제 조치하고 개인정보 침해 우려가 큰 금융, 의료, 교육, 통신 등 다량의 개인정보 처리 분야에 대해 합동점검을 시행해왔다.

하지만 합동점검단이 현장검사를 하고도 카드사 개인정보 유출을 알지 못한데다, 현장검사가 끝난 직후 검찰이 SC은행과 씨티은행의 정보유출 및 카드사 수사 결과를 발표함에 따라 합동점검단이 범정부 차원의 개인정보보호 기능을 다하지 못하고 있다는 지적이 나오고 있다.

합동점검단의 태생적 한계 상 '합동 행정지도' 이상의 효과를 기대하는 것은 무리라는 의견도 나온다. 합동점검단의 구성 및 운영에 대한 규정이 오는 12월 31일로 효력이 한정돼있는데다 별도수사권이 없는 임시조직이기 때문이다.

안전행정부 관계자는 "개인정보가 어떤 기준에 따라 관리되는지 점검할 수는 있지만 작정하고 저지르는 개인정보 유출 범죄를 (합동점검단이) 사전 적발하는 건 역부족"이라고 밝혔다.

한 정보보호 전문가는 "현실적으로 합동점검단이 카드사의 감독당국인 금융위의 영역을 넘보긴 어렵지 않겠느냐"며 "독립적인 감독권을 가진 개별부처들과의 협업이 쉽지는 않을 것"이라고 말했다.