공공기관들이 실시하는 온라인 설문조사가 개인정보 유출의 온상이 될 수 있다는 분석이 나왔다. 설문조사에 사용하는 구글폼·네이버폼 등 주요 플랫폼이 클라우드서비스 보안인증(CSAP)을 받지 않았다는 지적이다.

한국데이터정보과학회 부회장인 김원표 와이즈인컴퍼니 대표는 29일 국회의원회관에서 박상혁 더불어민주당 의원실 주최로 열린 토론회에 참석해 이같이 밝혔다.

와이즈인컴퍼니가 지난해 3월부터 1년간 공공기관 117곳의 온라인 자체 설문 실태를 조사한 결과에 따르면 조사대상 중 76.9%는 이 기간 자체 설문을 실시한 적이 있으며 외부 플랫폼을 사용한 조사 비중이 97.8%로 압도적이었다.

사용한 설문 플랫폼은 네이버폼이 58.9%로 절반 이상이었으며 구글폼이 21.1%였다. 그밖에 모아폼(6.7%)·유레카(5.6%) 등이 뒤를 이었다.

이들 조사 중 개인정보 수집을 한 경우는 56.8%에 달했지만 개인정보 수집 동의 문항을 넣은 조사는 16.0%에 불과했던 것으로 파악됐다.

네이버폼과 구글폼 등 외부플랫폼 상당수는 ‘클라우드서비스 보안인증(CSAP)’을 받지 않은 상태라는 게 김 대표 설명이다. CSAP는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 민간 클라우드 서비스의 안전성을 검증해 공공기관에 공급할 수 있도록 하는 제도다.

개인정보 보호의 중요성에 대한 공공기관들의 인지 수준은 외부용역을 맡길 때도 낮은 것으로 나타났다.

와이즈인컴퍼니가 같은 기간 공공기관들이 나라장터 등을 통해 올린 조사 용역 제안요청서 100건을 조사한 결과 요청서 내에 개인정보 처리 기준이 명시되지 않은 비율이 94%에 달했다. 개인정보 ‘파기’를 명시한 비율은 6.0%, ‘조사도구 제한’을 명시한 비중은 1.5%였다.

이런 가운데 외부 플랫폼을 이용한 한 지역교육청 학생기자단 모집 과정에서는 미성년자인 학생의 주민등록번호·계좌번호를 비롯해 보호자의 연락처를 수집한 일이 있었다. 다른 지역에서는 학생의 개인정보뿐만 아니라 자기소개영상도 수집하고 있어 고위험 사례로 꼽혔다.

김 대표는 “공공기관이 개인정보 수집을 위해 외부 플랫폼을 활용하는 행위는 개인정보보호법 등 관련법 위반으로 판단될 여지가 매우 높다”며 △개인정보 해외서버 이전 △암호화·접근통제 등 법정 보호조치 미이행 △위탁계약 요건 위반 △행정안전부 클라우드 이용기준 위반 등의 문제를 제기했다.

김 대표는 “공공기관은 가능하면 미인증 외부 플랫폼 사용을 전면 중단하는 것이 바람직하다”며 △클라우드 플랫폼 CSAP 인증 의무화 △공공부문 전용 설문 플랫폼 도입 △외주용역 관리·감독 강화 등을 제안했다.

이재걸 기자 claritas@naeil.com