지난 3월 24일 오전 11시 20분, 전체 대학원생 2,730명을 대상으로 전송된 메일에 개인정보가 포함된 파일이 첨부돼 유출되는 사고가 발생했다. 이후 발송 메일 일부 회수 및 피해자 유출 사실이 통지됐으며 개인정보 유출 사고 대응 및 재발 방지를 위한 조치가 순차적으로 진행됐다. 이에 본지는 후속 조치가 어느 정도 마무리된 현 시점, 사고의 경위와 원인, 피해를 보상하고 재발을 방지하기 위해 취한 일련의 과정에 대해 자세히 알아보고자 학생지원팀과의 인터뷰 및 조사를 실시했다. 

사고의 계기가 된 메일은 지난 3월 24일 대학원생을 대상으로 발송된 ‘2023년 대학원 생활비 지원 기금 장학생 선발 안내’ 메일이다. 기존 장학금 신청 과정에서는 담당자가 기금장학금 신청서 양식을 이전 장학생 선발 엑셀 파일로 수정 작업을 해 발송했다. 이때 메일을 발송하는 과정에서 기존의 엑셀 파일의 다른 시트에 포함돼 있던 정보를 삭제하지 않은 채 대학원생 전체 메일로 발송하면서 개인정보가 유출된 것이다. 개인정보 유출 인원은 졸업생 131명을 포함해 전체 368명이며, 그 중 361명은 △소속 △학과 △학번 △성명 △성별 △주민등록번호 △학적 △2021학년도 장학금 수혜내역(조교수당 제외)이, 나머지 7명은 △학번 △성명 △2021학년도 장학금 총 수혜액(조교수당 제외) △2022학년도 3월 조교수당이 유출됐다. 사고가 발생한 원인에 대해 최명용 학생지원팀장은 “업무의 효율성에 초점을 둔 업무를 처리하는 관습으로부터 실수가 발생해 죄송하다”라며 문제의 원인에 대한 유감을 표했다. 그와 동시에 “업무를 관습적으로 처리하는 과정에서 발생한 일인 만큼 어느 부서에서든 일어날 수 있는 일이다” 라며 사고의 원인에 대해 평가했다. 동시에 “이 사고를 발판 삼아 우리대학의 시스템을 다시는 이런 사고가 발생하지 않도록 철저한 점검을 통해 행정업무를 진행하는 과정에서 개인정보 보안을 한 번 더 점검하는 업무 프로세스를 갖추고 개인정보 보안에 대한 경각심을 갖도록 대학 전체가 노력하고 있다”라며 후속 조치 사항에 대해 언급했다.

사고 발생 후 우리대학은 즉시 사고 후속처리에 나섰다. 사고 발생 2시간 40분 후, 학생지원팀 발송 메일 회수 조치를 시작했으며, 당일 18시 15분, 유출 사실에 대한 통지 및 해당 파일 삭제 요청을 진행했다. 이후 지난 3월 27일 대학 개인정보 침해사고 대응 지침 제12조에 의거 △부총장 △입학학생처장 △학술정보처장 △학생지원팀장을 포함한 개인정보 침해사고 대책반을 구성했다. 또한 △23. 03. 28 개인정보 유출사고 교육부 신고 △23. 04. 05 보안심사위원회 1차 보고 △23. 04. 07 개인정보 유출신고 조치 확인서 교육부 제출 △23. 05. 22 개인정보 유출 피해자에 대한 보상금 신청 안내를 진행했다. 그 결과 지난달 12일 기준, 개인정보 메일을 수신한 2,730명 중 2,658명(97.4%)에게 유출된 개인정보 회수 및 삭제를 진행했다. 2차 피해 여부 역시 지난 4월 21일 진행된 6차 조치 경과 공지일까지 0회로 기록됐다. 최 팀장은 “아웃룩 메일 시스템 특성상 관리자가 모든 메일의 삭제 여부를 확인할 수 없는데, 학생 여러분이 빠른 삭제 및 회신을 해준 덕에 개인정보 회수가 수월하게 진행되고 2차 피해를 막을 수 있었다”라며 개인정보 회수 과정에 관해 감사를 표했다.

대책반은 단순히 개인정보 회수와 수습 과정 보고에 그치지 않고 재발 방지 및 피해 보상을 위한 방안도 마련했다. 우선 사고 원인이 됐던 기존의 관습적 업무 방식을 △다수의 수신자에게 발송 시 첨부파일의 하이퍼링크 처리 △전체 메일 대상 관리자 추가 확인 절차 △담당자 PC 내 개인정보 현황 및 파기 등을 통해 개선했다. 또한, PCFilter 소프트웨어를 활용해 부서별 개인정보 보유 현황과 암호화 여부에 대한 검사를 진행하고 이를 개선했다. 직원의 인식에 관련해서는 지난 4월 총 2차례에 걸쳐 재발 방지 교육을 실시했으며 매년 관련 교육과 긴급점검 절차를 도입해 추후 같은 사고를 막기 위한 제도를 마련했다. 이에 최 팀장은 “관습적으로 업무를 처리하던 구조에 의해 발생한 문제인 만큼 더 깊은 책임감을 느끼며 이런 일이 발생하지 않도록 개인정보 보호를 위해 계속해서 노력할 테니 지켜봐 주시길 바란다”라며 사고 원인에 대한 사과와 책임감을 표했다.

피해 학생을 위한 보상 방안은 크게 법률적 보상과 경제적 보상으로 구분된다. 법률적 보상에는 △2차 피해 관련 법률적 대응 지원 △주민등록번호 변경에 관한 법률적 절차 지원 △사고 관련 행정 지원 등이 있다. 사고 피해 학생의 경우 2차 피해 및 관련 불안감 등으로 인한 주민등록번호 변경 등을 언제든지 행정적·법률적 부담 없이 진행할 수 있도록 한 것이다. 그 외에도 △피해 학생 대상 심리 상담 지원 △개인정보 처리에 관한 보험금 지급 △주민등록변경 비용 지원 등 경제적·심리적 지원도 이어졌다. 특히 보험금 지급의 경우 유사한 사고 대상 일반적 지급액인 3만 원이 아닌 10만 원으로 책정됐다. 이에 대해 최 팀장은 “사고 피해 보상 지급액에 관해 보험사와 협의할 사항이 많아 관련 공지가 늦어졌다”라며 보상 관련 안내가 늦어진 이유를 설명했다. 

개인정보 유출 사고는 일어나서는 안 될 일임과 동시에 관습적인 업무 구조나 부주의로 인해 언제든 일어날 수 있는 사고다. 우리대학이 이번 사건을 계기로 기존의 취약점들을 개선하고 지속적으로 관련 검토를 진행해 다시는 같은 사고가 않도록 강력한 주의가 필요하다.