• 맑음동두천 -2.4℃
  • 맑음강릉 1.3℃
  • 연무서울 -0.9℃
  • 구름많음대전 -1.6℃
  • 구름조금대구 0.4℃
  • 구름조금울산 2.2℃
  • 맑음광주 -0.4℃
  • 맑음부산 2.8℃
  • 맑음고창 -0.6℃
  • 맑음제주 6.7℃
  • 구름조금강화 -0.7℃
  • 구름많음보은 -4.0℃
  • 구름조금금산 -3.2℃
  • 맑음강진군 2.4℃
  • 구름조금경주시 1.1℃
  • 맑음거제 2.7℃
기상청 제공

개인정보 유출, 캠퍼스도 안전지대 아니다

대학 당국의 개인정보보호 움직임 사회에 비해 늦어, 정보 주체인 학생들의 적극적인 태도 필요할 때


몇 년 전부터 이따금 뉴스거리가 되곤 했던 개인정보유출사고가 이번엔 제대로 터진 듯하다. 지난 2012년부터 2013년까지 NH농협, KB국민카드, 롯데카드 등 카드 3사에서 유출된 개인정보는 1억 건에 달한다. 이 글을 쓰고 있는 도중, KT에서도 1200만여건의 개인정보가 또 유출되었다는 소식이 들린다. 우리 국민 대부분의 개인정보들이 ‘공개정보’가 되어 이곳저곳으로 팔려다니고 있는 것이다. 뒤늦게 카드 3사 등을 상대로 한 손해배상청구소송이 곳곳에서 제기되고 있고, 정부와 국회도 부랴부랴 대책을 마련한다고 난리다. 하지만 소중한 개인정보들은 탈탈 털리고 난 뒤다. 이미 한참 늦었다.

최근 일련의 사태를 바라보면서 나는 대학교 4학년이었던 지난 2003년을 떠올렸다. 당시 내가 다닌 학교에서는 ‘S-카드’ 와 관련한 논란이 한창이었다. S-카드는 일종의 전자학생증으로, 학생증에 직불카드, 전자화폐, 교통카드의 기능을 합한 형태이다. 학교의 방침은 기존 학생증을 S-카드로 완전히 대체하겠다는 것이었다. 이에 반대하는 학생들은 개인정보가 통합 관리되어 유출될 가능성을 우려했다. 하지만 당시만 해도 개인정보의 민감성에 대한 인식이 그다지 높지 않았던 때여서, S-카드로 학교에서의 일상이 상당히 편리해질 것이라는 찬성 여론을 뒤집기는 어려웠다. 나 역시도 ‘뭘 저렇게들 예민하게 반응하는 걸까’ 라는 안이한 생각을 하고 말았던 것 같다. 실제로 그 이후 많은 대학들이 통합형 학생증을 도입했고, 당시의 S-카드 반대활동에 대해 ‘치기어린 학생들의 과민반응’이었다고 평가절하하는 사람도 많았다.

그런데 요즘 연일 터져나오는 개인정보 유출사건에 관한 기사들을 보면, 당시 S-카드를 반대했던 학생들의 우려가 끔찍한 현실로 재현되고 있음을 실감하게 된다. 당신의 흔적들은 손쉽게 합쳐지고, 정리되어 통합된다. 당신보다 당신에 대해 더 잘 아는 누군가가 당신이 모르는 사이에 생겨난다. 그럼에도 둔감해진 당신은 무심히 체념할 뿐이고, 그 사이 누군가는 더 빠른 속도로 당신의 개인정보를 빼내어 축적한다. 무서운 일이다. 지금의 상황은 그간 우리 사회가 개인정보 문제에 관해 사실상 손을 놓고 있었던 결과이다. 어떤 식으로든 대책 마련이 필요한 때임에는 의문의 여지가 없다.

이 문제를 대학이라는 공간 안에서 살펴보자. 개인정보 문제가 사회적 관심거리가 된 지는 이미 꽤 됐지만, 대학의 움직임은 대체로 가장 늦다. 대학이란 곳이 원체 변화에 신속하게 적응할 필요를 덜 느끼는 탓이기도 하고, 학생을 ‘봉’으로 보는 낡은 인식이 아직 남아있어서이기도 하다. 어쨌든 대학에 다니는 학생들의 개인정보는 ‘바깥 사회’에서보다 더 취약하고 열악한 환경에서 관리되고 있다. 몇 가지 문제되는 점들을 살펴보자.

잘 인식하지 못하고 있는 점 중 하나는, 대학이 학생들의 개인정보를 바깥의 공공기관에 넘겨주는 일이 의외로 많다는 사실이다. 대학이 개인정보를 제3자에 제공하는 것 자체를 문제라고 할 수는 없다. 개인정보보호법이 일정한 요건 하에서 공공기관이 보유한 개인정보를 제3자에 제공할 수 있도록 정하고 있기 때문이다. 이에 따라 병무청, 법원, 세무서 등 공공기관들은 수사상 필요, 징집자원 관리 등을 이유로 대학에 학생의 개인정보를 요청하고, 대학은 이에 응한다. 그런데 문제는 이런 경우 개인정보가 외부로 제공되었다는 사실을 본인에게 통지해 주도록 개인정보보호법이 정하고 있는데도, 이를 지키는 대학이 거의 없다는 사실이다. 보도에 따르면 이런 규정 자체를 알지 못하는 대학도 상당수라고 한다. 학생으로서는 자신의 개인정보가 이곳저곳으로 ‘제공’되었다는 사실 자체를 모르고 있을 수밖에 없다. 모르고 있으니 제공이 위법하다는 점을 따져물을 기회조차 없다. 이는 유출보다 더 은밀한 피해라 할 만하다.

또 한가지 살펴볼 것은, 금융기관 계좌와 연동된 학생증 사용 문제이다. 학생증은 학생임을 증명하면 그것으로 그만이지만, 수많은 대학들이 학생증에 금융기능을 연동시키고 있다. 학생증을 만들기 위해서는 학교와 제휴한 은행 계좌를 개설해야 하는 것이다. 금융기관들이 고객 확보를 위해 학생증 사업에 뛰어들고, 대학이 별다른 고민없이 이를 받아들인 결과다. 학생의 입장에서는 학생증을 만들기 위해 쓰지도 않을 계좌를 만드는 일이 빈번해졌고, 그러면서 학생들의 개인정보 유출 위험은 더 커질 수밖에 없게 되었다. 실제로 서울대의 경우 농협 계좌와 학생증을 연동하고 있는데, 이번에 농협카드의 개인정보가 유출되면서 학생들의 피해 호소가 줄을 잇는 상황이다. 학생증과 금융기능 연동 여부는 학생이 선택할 수 있도록 해야 한다는 목소리가 높다.

대학생들의 등록금 납부 여부나 장학금 수령액 같은 정보는 어떨까? 이 역시 민감한 개인정보임에는 의심의 여지가 없다. 그러나 이런 정보들을 어떤 사람의 학번만으로 손쉽게 알 수 있다면? 요즈음은 대학등록금 납부 서비스를 은행들이 제공하는 경우가 많은데, 은행의 서비스메뉴에 들어가 학생의 이름과 학번만 입력하면 그 학생의 등록금 납부 여부, 장학금 수령액, 학생회비 납부 여부까지 알 수 있는 경우가 적지 않다. 주민번호나 가상계좌 등 본인확인절차를 요구하는 경우는 오히려 많지 않다고 한다. 사실상 정보보안과 관련해 무방비 상태로 운영되고 있는 것이다.

가장 심각한 것은, 대학 당국의 개인정보 관리에 대한 인식 문제다. 아직까지도 대학들은 학생들의 개인정보를 마음대로 열람할 수 있는 것으로 여기는 경우가 많다. 최근 덕성여대에서 벌어진 사례를 보자. 지난 2013년 치러진 덕성여대 학생 총투표에 학교 쪽이 개입하였다는 주장이 제기되면서 논란이 일었던 적이 있다. 덕성여대에서 꾸려진 진상조사위원회 결과를 보면, 당시 덕성여대의 한 교직원이 학내 여론을 학교 쪽에 유리하게 이끌어가기 위해 학내 게시판에 글을 올린 학생들의 학과·학번·전화번호·주소 등을 알아내 활용하기도 했고, 학교 쪽에 반대하는 학생들의 학점까지 조회해 자신이 지원하는 학생 쪽에 알려주기도 했다. 피해 학생들은 이 직원을 상대로 법적 대응까지 불사하겠다고 나선 상황이다. 극단적인 사례이긴 하지만, 나는 이것이 대학 당국의 학생정보에 대한 인식 수준을 잘 보여준다고 생각한다.

사실 대학에서의 학생 개인정보 관리에 대해 제도적으로 뾰족한 수를 내는 것이 쉽지는 않아 보인다. 현행 개인정보 관련 법령의 문제점들을 논외로 한다면, 오히려 지금 벌어지고 있는 학생정보유출 문제들의 상당수는, 현재의 일반적인 개인정보 관련 법령을 제대로 지키지 않았기 때문에 야기된 측면이 크다. 학교가 학생의 개인정보를 제공했는지 여부를 학생에 통지해 주고, 학생증의 금융기관 연동 여부를 본인이 선택할 수 있게 하는 것만으로도 많은 문제들이 해결될 수 있다. 무엇보다 중요한 것은 학생들의 개인정보를 철저히 관리하겠다는 대학 당국의 의지다. 대학은 수천에서 수만에 이르는 재학생들의 온갖 개인정보와 또다른 수만의 수험생들의 정보들을 관리하는 곳이다. 학생정보 유출 사고가 일어날 때마다 ‘실무자의 실수’라며 덮어버리기에는 그 책임이 너무도 막중하다. 지금이라도 대학 당국은 현행 개인정보보호법과 그 시행령, 시행규칙부터 꼼꼼히 읽어봐야 한다.

한 가지 덧붙이고 싶은 건, 정보주체인 학생들 스스로도 개인정보 문제에 대해 적극적인 태도를 가질 필요가 있다는 점이다. 제도가 아무리 훌륭하게 바뀌어도, 정보주체가 자신의 개인정보를 지키는데 소극적이면, 개인정보의 유출 위험은 그다지 줄어들지 않는다. 이번에 카드3사가 엄청난 양의 개인정보를 유출했다가 금융위원회로부터 받은 처분은 고작 3개월 업무정지에 과태료 600만원이었다. 설령 지금보다 처벌 규정이 강화된다고 해서 카드사들이 개인정보관리에 주의를 기울일까? 별로 그럴 것 같지 않다. 이들이 정말 무서워하는 건 소비자들로부터 외면받는 것이다. 정보유출 피해를 입은 사람들이 기업을 상대로 강하게 책임을 묻고, 배상을 요구하고, 필요하다면 불매운동도 벌여야 이들은 개인정보 관리에 경각심을 가질 것이다. 박근혜 대통령은 이번 사태를 두고 “개인정보 규정 위반하면 회사 문을 닫도록 제재하겠다”고 했다. 하지만 이 말을 믿고 있다가 손해를 보는 건 소비자들이다. ‘이미 털릴대로 털렸다’고 체념하면, 자기의 정보인권을 지킬 방법이 없다.

관련기사





[기자칼럼] 가해자들의 도피처, ‘심신미약’ 요즘 하루가 멀다 하고 뉴스에선 잔인한 사건들이 보도된다. 서울 강서구 한 피시방에서 아르바이트를 하던 청년이 잔인하게 살해됐다는 보도, 오피스텔 관리사무소에서 경비원 2명을 잔혹하게 살해한 혐의로 재판에 넘겨진 20대 남성, 2011년 같은 회사에 다니던 여성의 몸속에 손을 넣어 숨지게 했지만 상해치사로 종결된 사건 등이 그러하다. 이 잔혹한 사건들의 처리과정에는 한 가지 공통점이 있다. 바로 가해자가 ‘심신미약’을 주장했다는 것이다. 실제 경비원 2명을 살해한 20대 남성은 검찰이 사형을 구형했지만 심신미약 주장이 인정돼 일부 감형되었고, 같은 회사에 다니던 여성을 살해한 가해자는 피해자에 입힌 상해 정도가 심각하지만 술에 취해 심신미약이었다는 이유로 4년형을 받았다. 한 사람의 목숨을 앗아간 범죄임에도 불구하고 심신미약을 이유로 처벌은 가벼운 수준에 그쳤다. 잔혹한 살인을 했음에도 ‘심신미약’으로 감형되는 경우가 허다하다. 형법 제10조를 살펴보면 ‘심신장애로 인해 사물을 변별할 능력이 없거나 의사를 결정할 능력이 없는 자의 행위는 벌을 하지 않거나 형을 감경한다.’고 명시돼 있다. 여기서 심신장애란 인지·지능·언어·정서·행위 등의 심신기능 면에 장애가