강원특별자치도교육청이 현업 종사자 5,200여명의 건강정보 등 개인정보를 유출하고도 피해자들에게 이를 제때 알리지 않은 사실이 뒤늦게 드러나 논란이 커지고 있다. 특히 건건강정보 등 민감정보가 포함된 자료가 내부망을 통해 공유된 것으로 확인되면서 개인정보 보호 체계 전반에 대한 신뢰에도 의문이 제기된다.
전국교직원노동조합 강원지부는 18일 성명을 내고 “도교육청이 개인정보 유출 사실을 인지하고도 2년 가까이 피해자들에게 알리지 않았다”며 “공식 사과와 행정 처리 과정의 전면 공개”를 촉구했다.
이번 사건은 2023년 11월 도교육청이 산업안전보건법에 따라 현업업무종사자의 건강검진 실시 여부를 점검하는 과정에서 발생했다. 당시 도교육청은 5,207명의 건강검진 현황을 정리한 엑셀 파일을 공문과 함께 배포했고, 이 과정에서 개인정보가 담긴 자료가 교육지원청과 각급 학교로 전달됐다. 해당 자료에는 이름, 생년월일, 근속연수 등 개인 식별 정보와 함께 건강검진 실시 여부, 2차 검진 대상 여부 등 건강 관련 정보가 포함된 것으로 파악됐다. 이 가운데 22명은 질환 여부 등 민감정보까지 포함된 것으로 나타났다.
논란은 사고 이후 도교육청의 대응 과정에서 더 커졌다. 도교육청은 유출 사실을 인지한 뒤에도 피해 당사자들에게 개별 통지를 하지 않았고, 개인정보보호위원회의 처분이 내려진 이후인 지난 3월 6일에야 홈페이지에 사과문을 게시하며 관련 사실을 공개했다. 개인정보보호위원회는 도교육청의 개인정보 처리 과정에 법 위반이 있었다고 판단해 과태료 552만원을 부과했다.
전교조 강원지부는 “사과문을 게시한 당일 정보보안 강화 계획을 발표하고, 며칠 전에는 교육감이 개인정보 보호 캠페인에 참여했다”며 “겉으로는 보호를 강조하면서 내부에서는 유출 사실을 방치한 위선적 행정”이라고 지적했다. 또 “개인정보 유출 사고에서 가장 기본적인 조치인 개별 통지와 피해 최소화가 이뤄지지 않았다”며 “불필요한 민감정보를 수집·관리한 구조 자체가 문제”라고 주장했다.
이에 대해 도교육청은 “해당 자료는 내부 업무망을 통해 제한적으로 공유됐으며, 583개 기관 소속 교직원 222명만 열람한 것으로 파악됐다”며 “현재까지 외부 유출 정황은 확인되지 않았다”고 밝혔다. 이어 “사고를 인지한 뒤 열람 제한과 접근 차단, 업무 절차 점검 등 초기 조치를 실시했고, 이후에도 개인정보 보호 교육과 관리 체계 강화를 지속해 왔다”며 “이번 사안을 계기로 재발 방지 대책을 더욱 철저히 마련하겠다”고 했다.
