인천국제공항공사, “통합여객흐름관리시스템 관련 개인정보 처리 및 관리” 불안 불안

인천국제공항공사가 터미널 내 여객의 출국상황을 관리하기 위해 통합여객흐름관리시스템을 구축 운영하는 과정에서 용역업체를 제대로 관리 감독을 하지 못해 수많은 개인 정보가 유출되었을 가능성이 있었음이 감사원의 감사결과 뒤늦게 밝혀졌다.

이러한 사실은 2014년 1월경 여객관리시스템 1차 구축사업이 완료된 후 안정화 기간(2013. 11. 9. ~ 2014. 5. 8.) 중에 여객관리시스템의 여권판독기에서 스캔된 여권과 탑승권의 성명이 제대로 인식되지 않은 장애가 발생하자 공항공사는 A 업체와 B 업체를 불러 "장애사유를 분석하여 여권정보의 인식률을 제고하라"고 지시하면서부터 발생되었다.

이에 A업체와 B업체는 2014년 2월 3일부터 2월 24일까지 약 21일에 걸쳐 장애사유를 분석하기 위해 "여권과 탑승권의 이미지 파일에 포함되어 있는 고유식별번호(여권정보, 주민등록번호)와 그 밖의 개인정보(탑승객 성명, 항공편명, 탑승일자 시간 등)를 추출하여 저장"하는 등 "위 업무를 처리할 권한도 없는 용역업체가 국가보안망을 구축하는 큰 사업에 참여하여 기본적인 규정을 준수하지 않고 작업을 강행"하더라도 "인천국제공항공사가 제대로 관리 감독만 했어도 이런 일은 발생하지 않았을 것"으로 보고 있다.

물론 여권정보 인식 장애사유를 분석하기 위해서는 탑승객 성명 항공편명 탑승일자 시간 등의 개인정보를 처리할 수밖에 없지만 인천국제공항공사는「개인정보 보호법」 제26조 제1항 및 제4항의 규정에 따라 “위탁업무의 수행목적 외 개인정보의 처리 금지, 안전성 확보를 위한 기술적 관리적 보호조치에 관한 사항 등의 내용이 포함된 문서에 의해 위탁하여야 하고, 수탁자가 개인정보를 안전하게 처리하는지를 철저히 감독하여야 했음에도 가장 기본적인 개인정보 처리에 관한 위탁계약을 맺는 일조차 하지 않은 채, A 업체와 B 업체로 하여금 개인정보를 처리하도록 한 담당자들의 업무태만으로 발생된 이번 사건은 누가봐도 국가보안망이 이토록 쉽게 뚫릴수 있는지 관리 감독에 총체적 문제가 있다는 의견이 지배적이다.

익명의 공항 관계자 K씨는 "개인정보 보호법 제21조 제1항의 규정에 따르면 개인정보처리자는 개인정보의 처리목적 달성 등 그 개인정보가 불필요하게 되었을 경우 지체 없이 그 개인정보를 파기하도록 되어 있으나 담당자나 관리자들의 안이한 근무자세로 인해 잘못된 곳에 이용될 경우 엄청난 피해가 발생된다는건 누구나 알수 있었을텐데 아마도 담당자들이 아무 생각없이 일한 것 아니냐"고 말했다.

한편, 감사원의 감사 결과에 따르면 A업체와 B업체 등은 「장애사유 분석을 이유로 탑승객 등 고유식별번호를 텍스트파일로 변환하여 수집 저장하고 있던 파일」을 찾아냈고 「탑승객 성명 항공편명 탑승일자 시간 등의 개인정보를 보관」하면서 암호화 등 안전성 확보 조치를 하지 않았는데도 이러한 사실에 대해 파악조차 하지 못한 사실과 고유식별번호는 장애사유 분석과 관련이 없으므로 즉시 파기하여야 했는데도 규정대로 하지 않은 인천국제공항공사의 허술한 보안 업무 행정을 밝혀냈다.

이로 인해 인천국제공항공사에서는 "감사원 지적에 대하여 앞으로 비인가 USB 및 외장하드 사용을 중단하고 자료공유 파일서버를 제거하는 등의 조치를 시행하고 개인정보 처리 프로세스를 정립하여 용역업체에 대한 관리 감독을 강화하겠다" 고 말했다.