장학생 1만명 개인정보 유출… 알고도 통보 안한 ‘경기대’

2020년 1학기부터 2021년 2학기
학교, 이름·주민번호 등 파일 노출
“은폐 의도 없어, 관련자 엄중 문책”

경기대학교가 국가장학금을 받는 재학생 1만명 이상의 개인정보를 유출한 사실이 뒤늦게 드러났다. 특히 학교 측은 이 같은 사실을 인지하고도 법에서 규정한 피해 학생 통보 조치 등을 하지 않은 것으로 확인돼 논란이 일고 있다.

21일 경기일보 취재를 종합하면 한 포털사이트에 2020년 1학기부터 2021년 2학기까지 경기대에서 국가장학금Ⅱ 유형 대상자였던 학생들의 명단이 담긴 파일이 공개 상태로 노출돼 있는 게 최근 확인됐다.

해당 파일에는 학기당 5천명 가량의 학생 명단이 있었고, 대략 1만명이 넘는(중복 포함) 학생의 이름, 연락처, 학과, 주민등록번호, 소득분위, 기초수급자 및 차상위계층 여부까지 담겨 있었다.

학교 측은 이 같은 사실을 지난 2월2일 한 졸업생으로부터 통보받았다. 그러나 학교 측은 이후 해당 게시글을 삭제하면서도 매뉴얼상 피해자들에게 연락할 의무가 없다는 이유로 피해 사실을 통보하지 않았다.

현행 개인정보보호법상 개인정보가 유출됐다는 사실을 인지하면 지체 없이 해당 정보 주체에게 유출된 개인정보 항목과 경위 등을 알려야 한다. 또한 개인정보 유출로 인한 추가 피해가 없도록 안내하고, 피해가 생겼다면 이에 대한 구제 방안 등도 안내해야 한다. 유출 대상자가 1천명이 넘으면 홈페이지에도 공지해야 한다.

그러나 이 기간 학교 홈페이지 등에 관련 안내도 전혀 없었다. 개인에게 일일이 연락이 어렵다면 홈페이지 게시 등을 통해서라도 통보해 추가 피해를 막았어야 했지만, 이러한 조치도 취하지 않았다.

경기대는 앞서 지난 2012년에도 교육대학원생 248명의 개인정보가 유출된 바 있다. 당시 해당 문건에는 이들의 이름과 학번, 휴대전화번호는 물론이고 학생들의 논문 진행 상황이나 학비 납부 여부 등의 정보까지 담겨 있었다.

이 같은 일이 반복되면서 온라인에서는 경기대가 개인정보 관리에 소홀한 것 아니냐는 지적이 이어지고 있다.

이와 관련 경기대는 이날 대책회의를 열고 철저한 조사와 피해 방지를 위해 전력을 다하겠다는 입장을 밝혔다.

경기대 관계자는 “졸업생에게 통보받은 날 파일 삭제나 포털사이트를 통한 차단 요청 등을 해 6일 뒤 해당 파일을 완전히 삭제했다”면서 “지난해 7월 홈페이지 리뉴얼 작업을 했던 터라 어떤 상황에서 유출됐는지 추가 조사가 필요한 상황”이라고 말했다.

피해 학생에 대한 통보가 이뤄지지 않은 점에 대해서는 “담당자가 유출이 아닌 노출이라고 인식하고 해당 매뉴얼에 따라 대응한 것 같다”며 “절대 은폐하려거나 회피하려던 의도는 아니었다”고 해명했다.

이어 “개인정보 보호를 위해 노력해왔는데, 소중한 학생들의 개인정보가 유출된 것에 대해 진심으로 사과드린다”며 “현재 경위를 정확히 파악하기 위해 고강도 조사를 하고 있다”고 말했다.

그러면서 "현재 유출된 것으로 확인된 정보는 학과 시스템 접근을 차단하는 등 피해를 막기 위한 기술적 조치를 취하고 있고, 외부기관에 맡겨 개인정보 업로드 자체를 막는 조치도 취했다"며 "관련 용역을 60일동안 진행해 모든 포털사이트 등에 관련 정보가 있는지 등도 확인할 예정"이라고 설명했다. 

또한 "재발방지를 위해 보호조치와 필터링 시스템 구축 등과 함께 개인정보 유출 관련자를 추적해 실수가 확인되면 엄정하게 조치할 예정이며, 필요하다면 수사를 의뢰하는 방안도 검토하고 있다"고 덧붙였다.