대한적십자사 176만건
개인정보 유출 사건 재구성 
감사원 감사보고서 집중분석

# 당신의 헌혈정보가 제3자에게 무단으로 넘어갔다. 여기엔 헌혈 장소, 성별, 나이, 직업, 혈액형, 기념품 수령 내역 등 신상정보가 담겨있다. 혹시 이 사실을 알고 있는가. 헌혈할 때 개인정보를 넘겨도 좋다고 동의한 적이 있는가. 

# 국내 헌혈의 93%를 책임지고 있는 대한적십자사에서 176만건의 헌혈자 개인정보를 민간업체(카이스트ㆍSK텔레콤)에 무단으로 넘긴 사건이 터졌다. 하지만 이 사실을 아는 사람들은 드물다. 심지어 개인정보가 유출된 헌혈자도 이 사실을 고지받지 못했다. 

# 도대체 무슨 일이 있었던 걸까. 더스쿠프(The SCOOP)가 ‘헌혈정보 176만건 유출 사건’을 집중 조명했다. 지난 10월 26일 감사원이 분석해 발표한 ‘보고서’를 근거로 삼았다. “대한적십자사가 헌혈정보를 넘긴 건 개인정보 유출이 맞다”고 지적한 감사원 감사보고서를 분석한 건 이번이 처음이다. 

헌혈자 개인정보 유출사건이 수면 위로 떠오른 건 익명의 제보가 대한적십자사 헬프라인에 접수되면서다.[사진=연합뉴스]
헌혈자 개인정보 유출사건이 수면 위로 떠오른 건 익명의 제보가 대한적십자사 헬프라인에 접수되면서다.[사진=연합뉴스]

■10월 26일 공개된 감사원 보고서 분석 
■ “대한적십자사 헌혈자 정보 무단 유출” 
■ 대한적십자사 “헌혈자에게 고지하지 않았다” 
■ 징계 절차부터 수위까지 의문투성이

“헌혈자의 행동 패턴을 분석해 헌혈을 활성화하겠다.” 당초 목표는 헌혈 사업 증진이었다. 하지만 이 프로젝트는 돛을 올리기도 전에 ‘개인정보 유출’ 사건으로 비화했다. 사건의 골자는 대한적십자사가 지난해 9월 헌혈정보 176만건을 민간업체에 무단 제공한 거다. 

당시 대한적십자사는 카이스트ㆍSK텔레콤과 함께 ‘헌혈 빅데이터 분석을 위한 업무협약(MOU)’을 추진했다. 그 과정에서 대한적십자사 혈액관리본부 헌혈진흥팀 직원이 헌혈정보를 카이스트에 제공했다. 보안심사도 결재절차도 거치지 않았다. 계약이나 양해각서(MOU)를 체결한 것도 아니었다. MOU 체결의 당위성을 설명하기 위한 시연회에 사용하기 위해 헌혈자의 개인정보를 넘긴 거였다. 

정보를 받은 카이스트 연구원은 헌혈정보를 분석해 대한적십자사와 SK텔레콤 담당자의 이메일로 전송했다. 100만건이 훌쩍 넘는 헌혈자의 정보는 그렇게 제3자에게 전달됐다.

[※참고: 여기서 말하는 헌혈정보는 2019년 헌혈의집에서 실시한 헌혈 데이터 176만3271건이다. 여기엔 헌혈 장소와 헌혈자의 성별, 직업군, 나이, 혈액형, 헌혈 종류, 헌혈 횟수, 헌혈 종료시간, 기념품 수령 내역 등 11가지 정보가 포함됐다.] 

이처럼 큰 사건이 수면 위로 떠오른 건 대한적십자사 레드휘슬 헬프라인(제보시스템)에 “헌혈자 개인정보가 무단 유출됐다”는 내용의 신고가 접수되면서다. 신고일은 2020년 10월 29일이었다. 신고가 접수되자 대한적십자사 청렴감사팀은 12일간(2020년 11월 19일~12월 4일) 내부감사를 실시했는데, 결과는 예상을 빗나갔다. “해당 헌혈정보는 ‘가명정보’이며, 개인정보 유출이 아니다.” 

청렴감사팀은 근거도 제시했다. “헌혈정보를 카이스트로 내보낸 건 ‘헌혈증진을 위한 빅데이터 분석’이란 연구 목적이 있었기 때문이다. 통계작성, 과학적 연구 등을 위해선 정보주체(헌혈자)의 동의 없이 가명정보를 처리할 수 있도록 한 ‘개인정보보호법 제28조의 2(가명정보의 처리에 관한 특례)’에 해당한다.”

[※참고: 가명정보는 ‘원래 상태로 복원하기 위한 추가 정보 없이는 특정 개인을 식별할 수 없도록 가명처리된 정보’를 뜻한다. 개인정보보호법(제2조 제1호 다목)상 개인정보에 해당한다.] 

대한적십자사는 자체 감사 결과에 따라 관련 직원 2명(헌혈진흥팀 팀장ㆍ과장)에게 각각 감봉 3개월과 견책이라는 경징계 처분을 내렸다. 개인정보를 유출한 건 아니지만 헌혈정보를 외부에 제공하는 과정에서 보안심사와 결재절차를 거치지 않았다는 이유에서였다. 

당연히 대한적십자사 안팎에선 “납득할 수 없는 결과”라는 불만이 쏟아져 나왔다. 이유는 한두 가지가 아니었다. 무엇보다 대한적십자사 내부감사팀은 ‘개인정보 유출이 맞다’는 법률자문을 받았는데도 이를 감사결과에 반영하지 않았다. 문제를 일으킨 직원의 징계위원회가 자체 감사 결과(2021년 1월 13일)가 나온 지 5개월 후에 열렸다는 점도 석연치 않았다. 

당시 결재라인에 있던 보안담당관인 기획관리국장, 결정권자인 헌혈진흥국장과 혈액관리본부장이 아무런 징계를 받지 않은 것도 논란을 불러일으켰다. ‘꼬리를 자른 게 아니냐’는 이유에서였다.

이뿐만이 아니다. MOU를 체결하기 전 헌혈정보가 새어나갔는데도 대한적십자사 차원에서 아무런 조치를 취하지 않은 점, 내부감사를 진행한 후에야 카이스트 등 민간업체에 연락해 헌혈정보를 파기해달라고 요청했다는 점 등 걸리는 게 수두룩했다. 

실제로 “대한적십자사 자체 감사 결과를 납득할 수 없다”란 지적은 사실로 드러났다. 감사원은 대한적십자사가 내부감사를 실시한 지 두달여 후인 2021년 3월 29일~4월 16일 감사를 진행했다.

결과는 대한적십자사와 딴판이었다. 지난 10월 발표한 감사보고서에 따르면, 감사원은 해당 헌혈정보를 개인정보로 판단했다. 외부로 유출된 헌혈정보(가명정보)에 대한적십자사가 보유한 추가 정보를 결합하면 특정인을 식별할 수 있다는 이유에서였다. 

이를 근거로 감사원은 대한적십자사가 헌혈정보를 카이스트에 넘긴 행위를 ‘개인정보 유출’이라고 결론지었다. 감사원은 “MOU를 체결한 상태도 아니었던 데다, ‘가명정보의 처리에 관한 특례(개인정보보호법 제28조의 2)’는 개인정보처리자(대한적십자사)의 관리ㆍ통제 범위를 벗어나 임의로 제3자에게 개인정보를 제공해도 된다는 규정은 아니다”면서 “이 사건은 헌혈정보가 제3자에게 무단으로 제공된 개인정보 유출에 해당한다”고 지적했다.

대한적십자사는 개인정보 유출이 아니라고 판단했지만 감사원 감사 결과는 달랐다.[사진=연합뉴스]
대한적십자사는 개인정보 유출이 아니라고 판단했지만 감사원 감사 결과는 달랐다.[사진=연합뉴스]

자! 그렇다면 대한적십자사의 자체 감사는 왜 감사원과 달랐던 걸까. 부실하게 감사한 걸까 뭔가를 숨기려 했던 걸까. 감사원 감사보고서를 토대로 이 질문을 하나씩 풀어보자. 

■의문❶ 법률자문 왜 뺐나 = 대한적십자사는 지난해 말 내부감사를 진행하면서 한 법무법인에 자문을 요청했다. 해당 헌혈정보가 개인정보에 해당하는지, 개인정보 유출에 해당하는지 판단하기 위해서였다. 법률자문을 맡은 법무법인이 내놓은 의견은 대한적십자사 내부감사 결과와는 전혀 달랐다. “외부로 유출된 헌혈정보는 개인정보보호법상 가명정보로서 개인정보가 맞다. 민간업체가 헌혈정보를 법적ㆍ계약적 근거 없이 공유받은 것으로 보인다.”

그럼에도 대한적십자사 감사팀은 개인정보 유출이 아니라고 판단했다. 법률자문을 무시하고 자신들이 유리한 쪽으로 결론지은 셈이다. 실제로 대한적십자사 내부 감사보고서엔 법률자문에 관한 내용이 나오지 않는다. 

감사원도 이 부분을 지적했다. “대한적십자사는 법률자문을 받아 ▲이 사건의 헌혈정보가 가명정보로서 개인정보에 해당한다는 점 ▲대한적십자사 보안업무 관련 절차를 거치지 않고 카이스트에 전달됐다는 점 ▲적법한 권한이 없는 SK텔레콤에 공유됐다는 점 등을 알고도 해당 사건이 개인정보 유출에 해당하는지 제대로 검토하지 않았다.” 

대한적십자사는 왜 법률자문을 받아들이지 않은 걸까. 대한적십자사가 사건을 축소하고 은폐하려 한다는 내부 지적이 쏟아져 나오는 첫번째 이유가 여기에 있다.

■의문❷ 5개월 늦게 열린 징계위 = 지난 6월 대한적십자사는 내부감사 결과에 따라 헌혈진흥팀 직원 2명에게 3개월 감봉과 견책 처분을 내렸다. 징계 수위는 차치하더라도 징계 처분을 내린 시점이 의아하다. 내부감사 결과가 나온 날(1월 13일)로부터 5개월여가 흐른 뒤에야 징계가 이뤄졌기 때문이다. 일반적으로 징계 처분 요구가 나오면 곧바로 징계위원회가 열린다. 이 점을 감안하면 대한적십자사로선 징계 절차를 한참이나 늦게 진행한 셈이다. 
 

이게 관행인 것도 아니다. 대한적십자사 인사관리시행규칙 제24조의2(징계의결 기한 및 의결서 작성)에는 ‘징계위원회는 징계 의결 요구를 받은 날로부터 30일 이내에 의결을 해야 하고, 부득이한 사유가 있을 때도 30일에 한해서만 기간을 연장할 수 있다’고 적시돼 있다.

아울러 징계처분권자는 시행규칙 제25조(징계의 집행)에 따라 징계의결서를 받은 날로부터 15일 이내에 집행해야 한다. 피치 못할 사정이 있었다고 해도 내부감사 결과가 나온 뒤 75일(30일+30일+15일) 이내엔 징계가 이뤄졌어야 한다는 얘기다.[※참고: 감사시행규칙에 따라 감사부서의 장은 감사 결과에 따른 처분요구사항을 감사대상기관의 장에게 통보해야 한다. 처분요구를 받은 기관장은 1개월 내에 필요한 조치를 취해야 한다.]

대한적십자사 측은 “감사결과 통보 후 당사자가 이의신청서를 접수해 징계 조치가 늦어졌을 뿐 규칙이 정한 절차에 따라 진행했다”고 설명했지만 문제는 또 있다. 솜방망이에 가까운 징계 수위다. 대한적십자사의 뒤늦은 징계 처분은 공교롭게도 이 사건을 ‘개인정보 유출’로 판단한 감사원 감사 결과가 나온 후 이뤄졌다. 그런데도 징계 수위는 3개월 감봉ㆍ견책 수준에 그쳤다. 개인정보 유출 같은 큰 사건에 ‘솜방망이 징계’를 한 셈이다. 

■의문❸ 결재라인 왜 뺐나 = 더 큰 문제는 지금부터다. 3~4급 직원 2명(헌혈진흥팀 팀장ㆍ과장)에게만 경징계 처분을 내리고 사건을 종결한 대한적십자사는 정작 보안 책임자인 기획관리국장(보안담당관)과 결정권자인 헌혈진흥국장ㆍ혈액관리본부장에겐 아무런 책임도 묻지 않았다. 이유는 간단하다. 헌혈진흥팀장이 카이스트에 헌혈정보를 넘기기 전에 보안담당관과 협의ㆍ검토를 거치지 않았고, 결정권자의 결재를 받지 않았다고 판단했기 때문이다. 

하지만 이 지점에선 짚고 넘어가야 할 게 있다. 헌혈진흥국장과 혈액관리본부장이 사전에 헌혈정보가 넘어갈 거란 사실을 몰랐던 게 아니란 점이다. 헌혈진흥팀장은 카이스트에 헌혈정보를 제공하기 전에 ‘(헌혈정보를 기반으로 한) 빅데이터 분석 시연회를 개최하겠다’는 계획을 결정권자인 두 사람에게 구두보고했다.

구체적인 지시를 하지 않았더라도 헌혈정보가 넘어갈 것이라는 것쯤은 사전에 인지했을 가능성이 높다. 대한적십자사 측은 “두 사람의 결재가 문서로 남아있지 않기 때문에 징계 절차를 밟지 않았다”고 해명했다. 

대한적십자사가 개인정보 유출에 따른 후속조치를 취하지 않고 있다. 사진은 국정감사에서 질의를 받고 있는 신희영 대한적십자사 회장.[사진=뉴시스]
대한적십자사가 개인정보 유출에 따른 후속조치를 취하지 않고 있다. 사진은 국정감사에서 질의를 받고 있는 신희영 대한적십자사 회장.[사진=뉴시스]

대한적십자사 내부 관계자는 “문서가 없다고 해도 구두보고를 받은 결재라인이 헌혈정보가 유출될 거란 사실을 몰랐을 리 없다”면서 “설령 몰랐다고 해도 개인정보 유출은 심각한 문제이기 때문에 결재라인에도 책임을 물었어야 마땅하다”고 꼬집었다. 그는 이어 “개인정보 유출 사건을 결재 절차를 무시한 일부 직원의 일탈 행위로 축소하고, 결정권자를 제외한 직원 2명을 경징계 처분하는 것으로 마무리한 건 전형적인 꼬리 자르기”라면서 목소리를 높였다. 

놀랄 만한 점은 당시 결재라인에 있던 고위급 직원들의 현주소다. 아무런 징계도 받지 않은 그들은 온전히 자리를 보전하고 있거나 영전했다. 혈액관리본부장은 같은 자리를 유지하고 있고, 보안담당관이었던 기획관리국장은 인천지사 사무처장으로 발령받았다.

헌혈진흥국장은 지난 11월 대한적십자사 2인자인 사무총장 자리에 올랐다. 대한적십자사 내부 관계자는 “직원들 사이에서 ‘사고 치면 영전한다’는 말이 나도는 걸 그들이 아는지 모르겠다”며 한탄했다. 

■의문❹ 한적의 이상한 후속조치 = 개인정보가 유출됐을 땐 신속한 후속조치가 중요하다. 2차ㆍ3차 피해로 이어질 가능성이 높아서다. 개인정보보호법 제34조에 따르면 개인정보가 유출됐을 때 개인정보처리자(이 사건에선 대한적십자사)는 즉각 당사자에게 해당 사실을 알려야 하고, 피해를 최소화하기 위한 대책을 마련해야 한다. 아울러 유출된 개인정보가 1000건 이상일 때는 개인정보보호위원회, 한국인터넷진흥원 등 전문기관에 알려 확산 방지ㆍ피해 복구를 위한 기술을 지원받아야 한다. 

그렇다면 대한적십자사는 어떤 후속조치를 취했을까. 공교롭게도 이들은 아무런 후속 조치도 진행하지 않았다. 내부감사를 진행하고 나서야 카이스트와 SK텔레콤에 해당 정보를 파기해달라고 요청한 게 유일한 조치였다. 

심지어 그마저도 직접 확인하지 않았다. 카이스트와 SK텔레콤으로부터 ‘정보를 파기했다’는 내용이 담긴 공문을 받은 게 전부였다.[※참고: 카이스트 측은 제3자(카이스트 행정직원)가 동석한 자리에서 자료를 파기했고, 해당 내용을 공문으로 보냈다고 밝혔다. SK텔레콤은 “(개인정보가 담긴) 파일을 열어보지도 않았으며 대한적십자사의 요청이 왔을 땐 이미 다운로드 기간이 지나 있었다”면서 “파기했다는 내용의 확인서를 대한적십자사 측에 공문으로 보냈다”고 설명했다. 하지만 카이스트 행정직원이 제3자인지 의문이다. 100만건이 넘는 개인정보를 유출해놓고 ‘문서’ 하나로 후속처리를 마친 게 옳은지도 따져봐야 한다.] 

어쨌거나 대한적십자사의 개인정보 무단 유출 사건을 분석한 결과를 적시한 ‘감사원 감사보고서’가 공개된 지 60여일이 흘렀다. 대한적십자사는 헌혈정보 당사자들에게 ‘자신들의 개인정보가 유출됐다’는 사실을 일일이 알리고, 피해구제대책을 공지했을까. 카이스트와 SK텔레콤엔 ‘사후 유출 문제’를 구속할 만한 안전장치를 마련해놨을까. 

대한적십자사의 답변은 그들이 국민의 헌혈과 적십자회비로 운영되는 공공기관인지 의심하게 만든다. “카이스트와 SK텔레콤으로부터 ‘헌혈정보를 파기했다’는 공문을 받았다. 그 공문이 법적 효력을 갖고 있기 때문에 다음 절차를 밟지 않았다. 헌혈정보 당사자들에게도 알리지 않았다. 개인정보보호위원회의 조사가 진행되고 있으니 그 결과가 나오면 그에 맞는 조치를 취할 것이다.” 

개인정보 유출 사건이 터진 지 1년, 내부감사를 진행한 지 11개월, 감사원 감사 결과가 발표된 지 2개월여 지났다. 지금까지 아무것도 하지 않은 대한적십자사가 어떤 조치를 취한다는 건지 알 수 없다. 무엇을 더 기다리고 무엇을 더 해결한다는 걸까. 지금 어디선가 헌혈하는 사람들의 개인정보는 안전한 걸까. 

고준영 더스쿠프 기자
shamandn2@thescoop.co.kr

이지원 더스쿠프 기자
jwle11@thescoop.co.kr

심지영 더스쿠프 기자
jeeyeong.shim@thescoop.co.kr

키워드

#더스쿠프 #경제주간지 #헌혈 #개인정보 #개인정보유출 #대한적십자사 #한적 #감사원 #헌혈정보 #헌혈의집 #카이스트 #SK텔레콤 #SKT
저작권자 © 더스쿠프 무단전재 및 재배포 금지
당신만 안 본 뉴스
“미 FDA 문턱 넘어도 첩첩산중” 주가 불붙은 HLB의 변수
“중간요금제 탓에 매출 급감?” 가장 쓸데없는 게 이통사 걱정
47년째 바뀌지 않은 ‘부가가치세율 10%’ 괜찮나
“도박과 게임 사이” 확률형 아이템의 두 얼굴 [視리즈]
빈말 쏟아낸 후 전통시장 찾아와 또 빈말 [공약 공염불➐]
신선식품은 어쩌다 빈부격차의 상징 됐나 [마켓톡톡]
양육비 대지급제? 180석 때도 안 지킨 약속들의 재탕 [4·10 後➊]
“미 FDA 문턱 넘어도 첩첩산중” 주가 불붙은 HLB의 변수

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음