ⓒ게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>

#포럼 참여를 희망하는 사람은 구글폼을 통해 통해 00월 00일까지 참석자 서식을 제출하면 됩니다.

#웨비나에 참석을 원하는 분들은 아래 링크(구글폼)를 통해 등록해주세요.

정부 부처와 공공기관이 각종 행사나 이벤트를 진행할 때 사용하는 외부 설문조사 플랫폼이 도마 위에 올랐다. 구글폼·네이버폼과 같은 외부 설문조사 폼 이용 시 담당자가 업무 계정이 아닌 개인 계정을 통해 개인정보를 수집하는데, 부처·기관의 정보시스템 외부에서 이뤄지다 보니 관리와 통제 사각지대가 발생하기 때문이다.

2일 정보보호업계에 따르면, 민간 기업은 물론 정부 부처와 지방자치단체, 공공기관이 각종 이벤트에서 개인정보 수집을 목적으로 구글폼·네이버폼을 사용하는 것은 개인정보 보호 관련 법규 취지에 어긋나며 개인정보 유출 가능성도 높다는 지적이 나온다.

기업·기관은 포럼·콘퍼런스 개최 시 사전등록 등을 위해 구글폼을 사용해 이름·소속·직함·휴대폰 번호·이메일 주소 등 개인정보를 수집한다. 편의성이 높은 데다 별도 비용도 들지 않아서다. 개인정보 관련 주무 부처인 개인정보보호위원회도 마찬가지다.

문제는 담당 직원이 구글폼이나 네이버폼 이용 시 업무 계정이 아닌 해당 플랫폼의 개인 계정으로 개인정보 수집한다는 점이다.

외부 설문조사 도구를 활용해 수집한 개인정보는 대개 엑셀 등 문서로 저장해 이메일, 문자 발송 시스템에 업로드하거나 내부 직원끼리 공유한다. 이 과정에서 담당자 실수나 고의 유출 발생 시 이를 파악하거나 방지할 장치가 없다. 중앙 정보시스템 밖에서 개인이 개인정보를 관리하는 셈이다.

전문가들은 구글폼 등 사용이 개인정보보호 법규의 안전조치의무 등을 위반할 소지가 있다고 지적한다. 구글폼 등을 사용하면 개인정보위 고시인 '개인정보의 안전성 확보조치 기준'에서 제7조(개인정보의 암호화), 제8조(접속기록의 보관 및 점검), 제12조(출력·복사 시 안전조치)를 준수하기 어렵다는 것이다.

구체적으로, 접속기록을 보관하고 월 1회 이상 이를 점검해야 하지만, 접속기록이 규제에 맞게 보관되고 있지 않으며 다운로드 시 사유도 확인하지 않는다. 또 개인정보 출력 시 용도에 따라 최소한의 개인정보 항목을 출력하고 이를 위해 마스킹 등을 조치해야 하지만, 이를 확인할 때 마스킹 등이 적용되지 않는다.

한 정보보호기업 대표는 “개인 계정을 사용하는 구글폼을 통해 개인정보를 수집할 경우, 적절하게 수집하는지, 안전성 확보 조치는 됐는지, 목적 달성 시 파기했는지 알 수 없다”면서 “담당자 퇴사 시 개인정보가 유출돼도 기관은 인지하지 못하고 정보주체 권리 보장도 안 되는 실정”이라고 지적했다.

개인정보 보호에 대한 중요성이 커진 만큼 관련 정책도 보다 정교해져야 한다는 의견도 나온다.

최경진 가천대 법학과 교수는 “개인정보 보호 수준과 컨플라이언스가 점점 더 세밀화하고 있다”면서 “개인 계정이라도 업무를 위해 사용하기 때문에 관리·감독에 관한 기본적인 지침과 내부 관리 계획이 필요하다”고 말했다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]