【 청년일보 】 중소기업기술정보진흥원(이하 기정원) 종합관리시스템(SMTECH) 수록 개인정보가 구글 검색어, URL 변경을 통해 다운로드 가능한 것으로 드러났다. 기정원은 이같은 사실을 신고한 신고자의 취득행위에 위법성 여부를 묻는 법률자문을 받은 것으로 확인돼 과도한 위법성 여부를 따져 물은 것이란 지적이 나온다.

23일 국회 산업통상자원중소벤처기업위원회 소속 더불어민주당 윤관석 위원장(인천 남동을)이 중소기업기술정보진흥원으로부터 받은 자료에 따르면, 공익신고자 A씨는 2021년 11월 경 구글에서 통상적인 검색어와 URL 변경을 통한 방식으로 개인정보가 포함된 파일이 다운로드 된다는 취약점을 발견하고 중소기업통합콜센터를 통해 신고했다.

신고자 A씨가 SMTECH에서 다운로드한 678개 파일에는 회의비 및 교통비 영수증, 4대보험가입자명부, 현물출자확인서 등이 있었고, 이름·주민번호·휴대폰번호·카드번호 등 총 15개 항목 중 일부가 포함된 것으로 확인됐다.

신고된 사실을 확인한 기정원은 이틀 뒤인 11월 17일 개인정보보호위원회에 신고하고 이어 18일 신고자로부터 저장매체 및 네트워크 정보를 회수하는 등의 조치를 취했다. 19일부터 1주일간 기정원 홈페이지 및 SMTECH에 사과문 및 정보조회 글을 게시했다.

하지만, 12월 2일 기정원은 법률자문을 통해 신고가 공익적인 목적에서 이루어진 것이라 하더라도, 신고자가 개인정보 침해행위를 함으로써 개인정보보호법 등 관련 법령 위반에 해당하는지, 사실관계 확인 협조를 통해 유출된 개인정보 저장장치를 회수하고 삭제하는 등의 조치를 취했음에도 법령 위반에 해당하는지 등을 물은 것으로 알려졌다. 

법률자문 결과는 '공개'된 정보들을 '검색'할 수 있는 포털사이트를 통한 개인정보 취득을 두고 관련 법령 위반으로 보기 어렵다는 것으로 기정원이 과도하게 신고자 취득행위의 위법성을 따져 물은 것이라는 지적이 나온다.

윤관석 위원장은 "공공기관이 운영하는 사이트의 취약점을 신고한 공익신고자를 향한 과도한 문제제기는 공익신고자들의 설 곳을 매우 좁게 만들고, 공익신고를 주저하게 만든다"고 지적했다.

이어 윤 위원장은 "포털사이트 검색으로 개인정보가 유출될 지경으로 사이트를 관리해온 점에 대해 책임을 물어야 한다"면서 "정부는 공공기관을 포함해 민간에서도 보안 취약점에 대해 제대로 대응할 수 있도록 지원할 필요가 있다"고 강조했다.

【 청년일보=전화수 기자 】