개인정보 4만5천여건 직원끼리 공유해도 관리·감독 ‘태만’
세관이 우범 여행자 선별‧관리 등을 위해 구축한 ‘여행자 정보시스템’을 용역업체에 위탁‧운영하면서 용역업체 직원들이 수집한 개인정보 4억5000여만건을 암호화하지 않고 저장‧공유하는데도 이를 제대로 관리‧감독 하지 않은 사실이 감사원에 적발됐다.
18일 감사원에 따르면 관세청 인천본부세관은 우범 여행자 선별‧관리와 여행자 휴대품 검사‧통관 등의 업무처리를 위해 ‘4세대 국가관세종합정보망(이하 국종망)’의 단위시스템인 ‘여행자정보시스템’을 구축하고 2007년 3월부터 용역업체에 시스템 유지보수 및 개인정보 처리를 위탁해 운영하고 있다.
여행자정보시스템에는 법무부와 외교통상부, 항공사로부터 제공받은 ▲여권발급내역 ▲출입국 실적 자료 ▲여객명부 등이 데이터베이스로 구축돼 있기 때문에 관세청은 이를 위탁·처리하고 있는 용역업체에 대해 개인정보 관리와 정보보안 관련 지침 준수 여부를 철저히 관리·감독해야 했다.
하지만 감사원이 지난해 10월부터 11월까지 감사기간 동안 관세청의 개인정보 수집·관리 및 유지보수업체 관리 실태를 점검한 결과, 용역업체는 2005년부터 수집한 여권번호나 주민등록번호와 같은 고유식별번호가 포함된 개인정보 4억5200만건을 암호화하지 않은 상태로 위 업체 소유의 자료공유 파일서버에 저장·관리하고 있었다.
또한 업체 직원들은 자료공유 파일서버, 외장 하드 등 8개의 비인가 휴대용 장비를 수시로 반입해 사용하고, 노트북 PC 4대에 대해서도 별다른 반출 기록을 남기지 않고 외부로 빼내 사용하는 등 정보보안 관련 지침을 위반하기도 했다.
이와 함께 대외비로 관리하게 돼 있는 네트워크 구성도와 IP정보 등 중요한 자료를 암호화하지 않은 채 저장이나 공유하는 등 정보보안 관련 지침을 위반하고 있었지만 인천세관 업무 담당자들은 보안관리가 잘되고 있다는 용역업체 등의 말만 믿고 제대로 점검하지 않는 등 관리·감독 업무를 태만히 처리한 것으로 나타났다.
이에 따라 감사원은 관세청장에게 개인정보 처리 및 용역업체 관리·감독 업무를 태만히 처리한 인천세관 직원 2명에 대해 ‘국가공무원법’ 제82조 제1항의 규정에 따라 경징계 이상의 징계처분을 내리고, 앞으로 같은 일이 발생하지 않도록 용역업체에 대한 지도·감독 업무를 철저히 하며, 보안관리 총괄업무를 소홀히 한 관련자에게는 주의 조치하도록 했다.
이와 함께 행정자치부 장관에게 이 사건의 용역업체에 ‘개인정보 보호법’ 규정에 따라 과태료를 부과하도록 조치했다.
