UCUPS와 개인정보

편집위원 정승균

 

안녕. 나야.

내가 대학언론사의 기자라는 걸 알고 있는지 모르겠다. 이렇게 메일을 보내는건, 내가 쓴 글이 누구도 읽지 못하고 사라져버릴까 하는 안타까움 때문이야. 이 글을 공개하지 못하는데는 여러 이유가 있지만 가장 큰 이유는 무언가 확실한 것이 별로 없기 때문이지. 너에게 얘기하는데 꼭 무언가 확실해야만 하는 것은 아니겠지? 일단 내 얘기를 들어봐.

 

사실 내가 이 문제에 관심을 가지게 된 건 작년 가을이었어. 평소에 항상 주침야활, 폐인 세계에 빠져있던 나는 수업 중에 열심히 졸고 있었고, 잠결에 굉장히 흥미로운 이야기를 듣게 되어 잠을 깼어. 너나 나, 그리고 가톨릭대를 다니고 있는 사람이라면 누구나 관심을 가질만한 이야기. 바로 UCUPSUCUPS는 'Ubiquitous, Universal and United Catholic University Portal System'의 약자로, 대학 구성원이 언제 어디서나 접속해서 단일 계정으로 대학의 다양한 지식 시스템을 활용할 수 있는 통합 정보시스템을 뜻한다. -연합뉴스(가톨릭대 제공 기사), ‘가톨릭대, 종합포탈정보시스템 오픈’, 2008.11.06일자. 에 관한 이야기였어. 교수님이 말하기를 UCUPS를 통해서 교수가 학생들의 개인정보를 확인할 수 있는데, 일단 전체학기 성적, 연락처, 주소 등을 확인할 수 있었다고 해. 그런데 중요한 문제는 주민등록번호까지 알 수 있었다는 거지. 뒷번호까지. 그래서 교수님은 담당부서에 연락을 해서 왜 교수에게 학생들 주민등록번호 뒷자리까지 공개를 해야 하냐고 따졌고, 지금은 주민번호 앞자리 생년월일만 확인할 수 있다고 하네. 사실 좀 충격이었어. 그렇잖아, 사실 UCUPS에 입력한 정보를 누군가 확인한다는 사실은 어렴풋이 알고 있었지만 확실히 누가 내 정보를 얼마만큼이나 확인할 수 있는지는 몰랐으니까. 그래서 ‘다음 교지 아이템은 이거다!’라고 생각을 했어. 그리고 시간이 좀 흘렀지.

 

이제 이 주제를 가지고 글을 쓰려고 준비를 시작했어. 그렇다면 먼저, ‘개인정보’가 무엇인지에 대해 조사를 해야겠지? 이곳저곳을 찾아보니 한국에서 정보보호의 가이드라인이 되는 법이 있는데, 그게 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이라고 하더군. 여기에 따르면 ‘“개인정보”란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다’고 한다네. 즉, 개인정보는 특정 개인을 확인할 수 있는 정보라 하니 이 정보만 있으면 내가 누군지를 확인할 수 있는 정보라는 거지. 예를 들면 이름, 주민등록번호, 군대에서는 군번, 학교에서는 학번, 그리고 이렇게 확실히 내가 누구인가를 확인하지 못해도 다른 정보와 결합해서 내가 누군지를 파악할 수 있는 정보도 개인정보에 포함된다고 해.

 

계속 조사를 하다보니 개인정보와 더불어서 최근 ‘프라이버시권’이란게 문제가 된다고 하더라. 요즘 인터넷이 발달하면서 개인정보의 유출과 같은 문제점들이 늘어나고 있는 건 너도 잘 알고 있지? 본래 ‘프라이버시권’은 ‘사적인 영역을 침해받지 않을 권리’를 의미했다고 해. 하지만 최근 들어 인터넷 사용이 보편화 되고, 인터넷 상에서 개인정보의 수집․이용이 늘어나면서 ‘프라이버시권’은 개인이 자신에 관한 정보의 유통과 흐름을 파악하고 통제할 수 있어야 한다는 의미로 변했고, 이는 개인이 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 또 이용되도록 할 것인지 스스로 결정할 수 있어야 한다는 거라고 하더라.프라이버시권과 관련해서는 진보네트워크센터, 『2009 정보인권 시민학생강좌』자료집 중 「프라이버시와 감시」인용. 그래서 요즘 홈페이지 회원가입을 할 때에 보면 기존의 회원가입약관 외에 ‘개인정보 수집․이용’에 대해서도 동의를 하라고 묻고 있잖아. ‘수집하는 개인정보의 항목’, ‘개인정보의 수집 이용목적’, ‘개인정보의 보유 및 이용기간’ 정도를 확인하고 동의할지 동의하지 않을지를 물어보지. 사실 동의하지 않으면 회원가입을 못하니까 불만이 있더라도 그냥 눈감고 동의에 클릭을 하고 말겠지만.  

 

  

너도 알다시피 대학에도 포털사이트가 있잖아. 가톨릭대에선 앞서 말했던 UCUPS. 메일확인, 커뮤니티, 학사와 관련된 휴․복학신청, 수강신청, 장학금확인, 기숙사신청, 예비군훈련 확인하는 등의 일들을 모두 이 UCUPS를 통해서만 해야 하잖아. 거기에다 UCUPS에는 내 이름, 학번, 주민등록번호, 연락처, 주소, 군필여부, 군번, 수강신청 기록, 성적 기록, 장학 기록 등 많은 개인정보가 저장되어 있기도 하고. 더군다나 무엇보다 이제는 잊고 싶은 내 과거시절 사진도 저장되어 있지.

이 UCUPS라는게 내가 군대 가기 전까지는 없었으니까, 언제 만들어졌는지를 찾아봤어. 일단 2008년에 만들어졌고, ‘기존에 각기 다른 계정으로 운영되어 오던 그룹웨어, 도서관 서비스, 사이버 캠퍼스, 커뮤니티, 웹메일 등의 각종 지식 시스템을 통합인증(SSO: Single Sign On)을 통해 제공한다’위 기사 참조 고 하네. 물론 수강신청 사이트 따로, 메일 사이트 따로, 도서관 사이트 따로 써야 하는 것보다 한 사이트에서 모든 서비스를 이용 가능한게 편리한 부분도 있고, 각각의 사이트에서 보안망을 구축하는 것보다 한 사이트만 보호하면 되기 때문에 보안 측면에서도 이점이 있다는 건 확실한 것 같아. 하지만 이런 이점이 있다고 해서 모두 좋다고만 할 수는 없지. 일단 여러 곳에서 나누어 사용하던 개인정보를 한곳에 모아놓았다면 한 번 사고가 터졌을 때 그 피해가 더 커질 수도 있으니까.

 

그래서 UCUPS가 어떻게 운영되는지 확실히 확인해보고 싶었어. 그래서 아까 말했던 교수님한테도 연락해보고, 정보통신원에도 연락을 해봤지. 가장 중요한 정보를 가지고 있을 정보통신원은 자신들이 이 시스템을 운영하는 건 맞지만, 공지사항 같이 공개된 곳에 개인정보가 유출되지 않도록 하거나, 각 부서의 요구에 따라 개인정보 공개정도를 설정할 뿐이기 때문에 자세한 정보를 공개할 권한이 없다고 하네. 그래서 타학교 사례를 찾아보기 시작했지. 찾다보니 2005년에 국가인권위원회(이하 국가인권위)에서 관련한 결정국가인권위 결정, 대학에서의 개인정보보호 실태에 대한 직권조사(04직인23 외 10건), 2005.5.23. 이 있었다는 자료를 찾을 수 있었어. 2004년 7월 대학 내 통합정보시스템이 학생들의 개인정보인권을 침해하고 있다는 진정을 접수한 국가인권위가 이에 대한 전반적 조사가 필요하다고 판단하여 2004년 10월부터 12월까지 전국 11개 국립대학에 대해 조사를 벌였고, 결국 이 결정이 나오게 되었다고 하네. 물론 6년 전의 결과이기 때문에 지금 이 내용을 바로 적용하는데는 무리가 있을지 모르겠지만, 대학 내 포털사이트 개인정보보호에 대한 일정한 기준을 제시해주었다는데 점에서 의미가 있을 것 같으니 계속 이야기해볼게.

일단 이 결정에서 중요한 권고사항에 대해서 보고, 가톨릭대는 이 부분에 있어 어떤지 정리해보도록 할게.

 

2. … ① 대학정보시스템이 필요한 정보만을 최소한의 범위내에서 집적하고 있는지, ② 집적된 정보는 미리 공시된 목적에 한하여만 이용되고 있는지, ③ 집적된 정보의 내․외부 유출을 방지할 수 있는 대책을 수립․시행하고 있는지, ④ 교직원과 학생 등에 대한 효과적인 정보인권교육을 시행하고 있는지, ⑤ 개인정보 보호정책의 수립과 시행에 있어 정보주체의 판단을 최대한 존중하고 그들의 참여를 제고할 수 있는 방안이 마련되어 있는지 등을 검토하여 대학내 정보시스템 운영에 관한 ‘개인정보 보호계획’을 수립․시행할 것을 각 권고하고,위 국가인권위 결정 참조

 

 

전에 교지에서 다루기도 했었는데, 학교는 2008년까지 학생생활지도카드라는 이름으로 개인의 신상정보는 물론 키, 몸무게, 건강상태, 특기, 취미, 가족관계, 부모님의 재산 정도, 교내 학우관계 등 과도한 범위의 정보를 수집하려한 적이 있었잖아. 물론 이 사항들을 모두 비워놓고 간단한 사항만 써서 제출해도 문제가 없어서 실제로 저 개인정보 모두가 제공되지는 않았지만 필요 최소한의 범위를 넘어선 정보수집이라 생각이 들었어. 또 개인정보를 수집․운용하는 담당자인 교수․조교․행정직원에 대해 교육이 제대로 이뤄지는지 확인할 수 없을 뿐더러, 개인정보를 제공하는 학생들도 이에 대한 교육을 거의 받지 못하는 상태인건 확실하고 또 자신의 개인정보의 열람 및 정정청구 등의 제도에 대해 잘 알지 못하니까, 이를 활용하지 못하고 있지.

게다가 홈페이지에 게시되어 있는 ‘개인정보취급방침’홈페이지 우측 하단 ‘개인정보취급방침’을 클릭하면 확인할 수 있다. 은 타 대학의 ‘개인정보보호방침’과 비교해 봤을 때, 설명이 많이 부족하다고 생각해. 내가 인터넷으로 찾아 본 다른 대학들(충남대, 서원대, 상지영서대, 충청대 등)의 예를 들자면 「컴퓨터에 의해 처리되는 개인정보」에 있어서 각 개인정보 자료(교원 인사 자료, 학생 학사 자료 이런 식으로 나눠서)에 따라 보유근거, 보유목적, 주요항목, 보유기간을 명시하고 있는데 가톨릭대는 이 부분을 따로 공개하지 않더라고. 또 법률에 따라 통상적으로 다른 기관에 제공하는 개인정보 현황(학자금 대출 때문에 대출자 관련 사항을 한국장학재단에 넘겨주거나 하는 것처럼)도 타 대학들에서는 공개하고 있지만 가톨릭대는 이 같은 사항을 따로 확인하지 않으면 확인할 수 없는 것 같아. 그리고 가장 중요한 건 개인정보보호관도 다른 대학에서는 각 부서마다 분임책임관이 존재하고 전체를 총괄하는 책임관이 있지만 가톨릭대의 경우는 홈페이지에 단 한 사람만이 적혀있는데, 그것도 소속도 직위도 이름도 알 수 없이 전화번호와 이메일 그리고 주소만을 확인할 수 있더라고. 이러니 우리 개인정보가 확실히 보호되고 있다고 믿을 수 있겠어? 그리고 다른 대학들은 개인정보‘보호’지침이란 표현을 쓰는데, 가톨릭대는 개인정보‘취급’지침이란 말을 쓰니까 꼭 그 목적이 보호가 아니라 취급에 있는 것 같아.

이런 얘기를 하는 건 대학이 개인정보를 수집하는 것 자체를 문제 삼으려고 하는 건 아니야. 대학, 그리고 그 안의 교수, 행정직원, 조교는 각자 필요한 범위 내에서 수집된 개인정보를 이용해야 할 필요가 있고, 그것이 적정한 범위 안에서 이뤄진다면 문제될 건 없지. 하지만 앞서 프라이버시권을 설명하면서 개인이 자신에 관한 정보의 유통과 흐름을 파악하고 통제할 수 있어야 한다는 이야기를 했잖아. 지금 가톨릭대를 다니고 있는 내가 나의 개인정보가 어떻게 이용되는지 파악하고 있냐는 질문을 던진다면 고개를 저을 수밖에 없을 것 같아.