수원시 권선구청 공무원 A씨가 ‘서울 송파 전여친 살인사건(이석준 사건)’ 피해 여성의 집주소를 포함, 2년에 걸쳐 1101건의 개인정보를 흥신소에 팔았지만 정작 수원시는 지난해 정부의 개인정보보호 평가에서 만점 가까운 점수를 받은 것으로 나타났다. 사건이 발생하는 동안에도 전국 기초자치단체 평균 점수를 뛰어넘는 점수를 받아 ‘제도 보완이 필요하다’는 지적이 나온다.

12일 중앙일보 취재를 종합하면 수원시는 지난해 개인정보보호위원회의 ‘관리수준 진단평가’에서 99.2점을 받은 것으로 나타났다. 같은 해 전국 기초자치단체의 평균 점수(86.5점)보다 12.7점 높아 전국에서도 상위권에 해당하는 평가를 받았다. 개인정보위가 대상으로 잡은 평가 기간은 2020년 7월1일~2021년 6월30일. 검찰이 밝힌 A씨의 정보 유출 기간(2020년 6월~2021년 12월)과 대부분 겹친다.

 

 
수원시가 고점을 받을 수 있었던 건 정부의 진단평가 대상이 지방자치단체가 직접 관리·감독하는 개인정보시스템으로 한정돼서다. 수원시가 자체 운영하는 시스템은 총 33개. 반면 정보를 유출한 공무원 A씨가 접속한 시스템은 국토교통부에서 운영 중인 ‘차적 정보 관리 시스템’으로 지자체에서 접속 기록을 관리할 수 있는 권한이 없어 정부의 평가를 비껴갔다.

수원시 관계자는 중앙일보와의 통화에서 “중앙부처 시스템을 지자체가 점검하고 증빙해야 한다는 가이드라인은 없었다”고 설명했다. 개인정보위 관계자 역시 “(지자체 평가에선) 자체 운영하는 시스템만 확인된다”고 말했다. 지자체 직원들은 총 16개의 정부 시스템을 활용해 수시로 개인정보를 조회하지만 이에 대한 감시 제도엔 ‘사각지대’가 있었던 셈이다.


 
정부 관계자는 “지자체가 아닌 시 산하 행정구의 경우는 세부적 평가가 어려운 점도 있다”고 설명했다. 개인정보위는 매년 공공기관을 대상으로 개인정보 보호 관리체계(30점), 보호대책(30점), 침해 대책(40점) 등 3개 분야 13개 지표에 대한 서면 진단 및 현장 검증을 하고 있다. 하지만 이석준 사건의 계기가 된 권선구청 등 시청 산하 행정구는 진단대상에 포함되지 않았다.

개인정보위 관계자는 “매년 795개 기관에 대한 평가가 이뤄지는 것만으로도 벅찬 상황”이라며 “지금까지는 군·구 단위에서 일어난 개인정보 유출 사고가 평가 대상인 상위 본청의 감점 사유가 되지 않았지만, 추후 이 같은 부분까지 세밀하게 보완할 수 있도록 검토하겠다”고 말했다. 수원시 역시 “중앙부처와 협의해 개인정보 유출을 미연에 방지할 수 있는 제도적 기반을 마련할 계획”이라고 말했다. 

 
수원시는 “‘개인정보 오남용 의심사례 소명 요청 제도(공무원이 개인정보를 일정 범위 이상 검색하면 이를 감지하고 당사자가 조회 사유를 적도록 하는 시스템)’ 등 개인정보 유출을 미연에 방지할 수 있는 시스템을 갖출 수 있도록 상급기관에 건의하겠다”는 입장이다. 이미 보건복지부가 운영하는 ‘행복e음’ 시스템의 경우 이 같은 모니터링 기능을 갖췄다. 

수원시는 현재 시청과 4개 구청, 시 산하 모든 기관의 개인정보 처리 과정을 재점검하고 있다. 최영진 개인정보위 부위원장 역시 12일 ‘공공기관 개인정보 유출 관련 대책방향’ 브리핑을 열고 “유출 사고가 발생한 수원시 권선구청에 대한 조사에 즉각 착수했다"며 “철저한 조사를 통해 관련기관 및 당사자를 개인정보보호법에 따라 엄중히 조치토록 하겠다”고 말했다. 이어 “모든 공공기관 개인정보 관리시스템을 자체 점검하고 개인정보 유출 방지 대책을 관계부처와 조속히 수립하겠다”고 밝혔다.