- 민간기업 절반도 못 따라가는 공공부문 정보보안 시스템 - - 전․현직 공무원간 개인정보 사고팔 수 있는 구조적 한계 - □ 이종훈 의원(새누리당, 경기 성남 분당갑)은 2월 13일 환경노동위원회 고용노동부 업무보고에서 최근 발생한 고용노동부 공무원의 개인정보 유출 사건과 관련해 고용노동부의 허술한 정보관리 시스템 전반에 대한 문제점을 지적하고 재발 방지 대책을 요구하였음. □ 고용노동부의 정보유출은 크게 ①정보보안 시스템의 문제, ②구조적 문제(인적문제) 로 나눌 수 있음. ① 정보보안 시스템의 문제 (1) 정보유출 사고 이전의 정보보안 시스템 문제(2월10일 이전) - 동 의원실에서 고용센터의 고용보험전산망을 통해 개인 및 사업장 조회를 시현해본 결과, 지난 2월 9일까지 고용보험전산망 접속이 가능한 인력 4,727명은 최 모 과장처럼 언제든지 정보 접근이 가능했으며, 손쉽게 유출할 수 있는 구조임. - 고용보험시스템의 1,800여 개의 개인정보 항목 중 58개 항목에만 DRM*이 적용되고 있어 DRM이 적용되지 않는 개인정보 1,742개는 외부에서 언제든지 열어 볼 수 있으며, DRM이 적용되는 58개 항목도 출력만 하면 외부로 충분히 유출할 수 있는 허술한 구조임. * DRM(전자문서유출방지 시스템) : 모든 문서파일이 암호화되기 때문에 외부PC에서 파일을 열어볼 때 암호화되어 내용을 볼 수 없도록 하는 프로그램. 전자문서 유출관리 시스템(DRM)은 2000년 초부터 대기업은 물론 중소기업까지 기본적으로 적용하고 있는 가장 기초적인 문서보안시스템. - 고용노동부에서는 지난 2008년부터 개인정보 조회 소명시스템, 사이버 보안관제, 개인정보 로그 시스템, 개인정보조회 모니터링(직속상사)을 이미 실시하고 있음. - 그러나 이러한 시스템이 운영되고 있음에도 불구하고 800만 건의 개인정보가 조회되고, 27만 건의 개인정보가 외부로 유출됨. 모든 보안시스템이 계획상에만 있고, 전혀 작동하지 않는 것이 문제임. (2) 고용노동부 정보보안 대책이후 허점(2월 10일 이후) - 2월 10일 이후 고용보험시스템의 모든 문서에 DRM을 적용하였지만, DRM이 적용된 문서마저도 출력을 통해 얼마든지 정보 유출이 가능한 구조임. (3) 민간기업 정보보안 시스템 비교(고용노동부 정보보안 수준) - 2월 10일 이후에 모든 항목에 DRM을 적용했음에도 출력이 가능하다는 문제점 외에, 민간 기업에서 채택하고 있는 기초적인 정보보안 시스템도 갖추지 못한 실정임. ※표: <고용노동부의 정보보안 현(現) 수준> (4) 정보보안 시스템의 허술함은 단지 고용노동부만의 문제가 아님. - 언급한 정보보안 시스템은 청와대 및 서울시청 등 극히 일부의 공공기관에만 적용되고 있는 실정임. - 즉 대부분 부처에서의 정보유출이 잠재적으로 가능하다는 것을 말함. ② 구조적 문제(인적 문제) (1) 이번 고용노동부 개인정보 유출사건에는 퇴직한 고용노동부 지청장 3명이 연루 됨. - 퇴직 지청장 3명은 고용노동부 재직 당시 공인노무사를 취득하였으며 지청장으로 퇴직한 후 2개의 노무법인을 설립하여 대표를 맡아 영업함. (2) 이번 사건에 퇴직 지청장 3명과 최 모 과장만이 연루된 것인지, 다른 현직 공무원들과 연루된 것인지 확인되지 않음. - 최 모 과장 이외에 과거에 같이 근무했던 다른 직원들에게도 개인정보를 받았을 가능성이 농후함. (3) 퇴직 지청장 3명은 과거 재직 당시, 개인정보 및 사업장정보 접근 권한이 컸던 만큼 과거 개인정보 유출에 대한 조사가 반드시 이뤄져야 함. - 또한 고용센터 과장급 이상 인력에 대해서도 고용정보원에 요청하여 정보조회 및 정보유출에 대한 조사를 반드시 해야 함. □ 고용노동부의 정보유출 실제 사례 - 이번 사건 이외에도 시스템적인 문제와 구조적인 문제가 복합적으로 작용하여 발생한 정보유출 사례가 비일비재하게 나타남. - 동 의원실에서는 노무법인에 근무하는 노무사들을 통해 정보유출 실제 사례 및 관련 증언을 확보함. ① 고용노동부 지청 근로감독관 및 고용센터 직원은 해당 지역 사업장 정보를 출력하여 노무법인에 전달한 후 사례금을 받음. 이에 노무법인은 사업장정보를 통해 10~50인 기업만 골라내 지원금, 취업규칙, 노무자문 등에 대한 맞춤형 영업활동(2~3년간 활용가능)을 함 ② 근로복지공단 지사 직원이 ‘장해등급재판정 대상자 개인정보’를 노무법인에 전달하고 사례금을 받음. 장해보상연금을 받은 대상자는 장해판정을 받고 나면 다시 2년 뒤에 장해등급재판정을 받아야 함. 이에 노무법인은 ‘장해등급재판정 대상자 명단’을 확보하여 대상자에게 연락하거나 직접 찾아가서 영업활동을 펼침. * 대상자들은 장해판정 후 2년 뒤에 다수의 노무사들에게 연락을 받는다고 함. ③ 노무법인은 입수한 사업장정보를 활용한 뒤 다시 지역 세무법인 등에 사례금을 받고 사업장정보를 되파는 행위를 함. ④ 지원금 신청기간이나 새로운 지원 사업이 생겼을 때 노무법인 및 세무법인은 근로감독관 및 고용센터 직원에게 받은 사업장 정보를 활용하여 전화광고, Fax광고, 우편DM발송, 휴대폰문자광고 등을 통해 영업활동을 함. (평균 수백~수천 건) ⑤ 장애인고용공단은 기업의 채용 담당자들에게 수백 명의 구직희망 장애인 개인정보(주민번호, 주소, 연락처, 장애등급, 세부장애내역 등)가 담긴 파일을 전달하고 기업에 채용 면접 대상자를 선택하도록 유도함.