외부민간기관에 헌혈자 정보 176만건 임의 제공… 2020년 정보보안 평가에선 만점, 관리 미비 지적
대한적십자사에서 보건복지위 소속 최혜영 의원에게 제출한 자료에 따르면, 지난해 9월 대한적십자사 혈액관리본부 소속 A직원은 민간기관과 다자 업무협약을 추진하던 중 헌혈자의 정보가 담긴 헌혈 정보 약 176만 건을‘ MOU 체결의 당위성 설명을 위한 시연회 ’사용 목적으로 외부민간기관(카이스트)에 허가 없이 임의 제공한 것으로 나타났다.
해당 자료는 SKT와 카이스트의 제안으로 헌혈자의 행동패턴을 분석하여 헌혈증진방안을 연구할 목적으로 제공되었는데, 헌혈장소, 성별, 직업군, 헌혈종류, 나이, 헌혈구분, 혈액형, 헌혈종료시간, 기념품 수령 내역 등 총 9종의 정보가 포함되어 있는 것으로 확인되었다.
한편 해당 사건과 관련한 법 위반여부 검토 결과에 따르면 “해당 외부유출자료는 개인정보보호법상 개인정보 중 가명정보에 해당할 가능성이 높다”는 답변과 함께 “가명정보 역시 ‘개인정보’에 해당한다”는 답변을 받은 것으로 드러났다.
또한 통신사인 SKT가 자체적으로 보유, 수집, 처리 또는 접근할 수 있는 정보가 해당 유출자료와 결합하여 개인을 식별할 수 있는 내용이라면 해당 자료는 개인정보에 해당할 가능성이 있다고 가능성을 열어둔 바 있다.
외부민간기관에 자료를 제공할 당시는 협약이나 용역사업추진을 위한 내부결재도 선행되지도 않았던 시기인 것으로 확인되었는데 현재까지도 해당 기관과 실질적인 협약이나 용역계약은 체결되지 않고 있는 것으로 나타났다.
문제는 외부기관으로 무단반출된 이후, 제3의 기관으로 가공 자료가 전송되는 등 추가 유출이 발생하였음에도 대한적십자사에서는 사건에 가담한 두 직원에 대해 절차상의 문제로‘감봉 3개월’, ‘견책’의 솜방망이 처분을 내렸고, 해당자는‘이름’, ‘주민번호’ 등 개인을 특정할 수 있는 정보가 없어 단순 자료라는점 때문에 반출된 사실에 큰 문제가 없다는 입장을 보이고 있는 것이다.
심지어 해당 사건이 수면 위로 떠오른 것은, 익명의 제보자가 대한적십자사 헬프라인을 통해 2차례에 걸쳐 신고접수를 하여 비로소 점검 절차를 밟게 된 것으로 확인되었다.
그렇다면 이번 사건에 책임이 있는 대한적십자사는 현혈관리본부의 개인정보 보호활동에 대해 제대로 점검하고 있었을까? 대한적십자에서는 개인정보 보호법 및 대한적십자사 지침에 따라 매년 기관의 개인정보 관리실태 및 개인정보 보호활동 등을 점검하고 있는데, 혈액관리본부는 2020년 점검에서는 5개 부문 중 3개 부문에서 100점을 받았던 것으로 드러났다.
이 중에는 제3자 제공 절차에 평가항목이 포함된 ‘보호대책 부문’에서도 ‘만점’을 받은 것으로 확인되어 대한적십자사 정보보안 평가 관리에 대한 미비점이 확인되었다.
이에 최혜영 의원은 “헌혈자의 혈액정보는 상당히 민감한 정보로써 지침에 따라 엄격히 관리되어야 함에도 176만 건이 아무런 근거나 형식적 절차 없이 제공된 것은 대한적십자의 안일한 개인정보 관리 인식을 보여주는 사례이다. 헌혈자 및 혈액정보관리에 허점이 생기지 않도록 직원 기강은 물론 실태점검을 통해 대책을 마련할 필요성이 있다.”고 지적했다.
김지예 기자
press@healthinnews.co.kr