2016년 UGRP 참여자 신상 유출, 개인정보보호법 제18조 위배

  금일 오전 10시 27분, 2016학년도 UGRP에 참여했던 14학번 학부생 일동에게 메일 한 통이 전송되었다. 본래 메일의 목적은 학부지원팀에서 작년에 UGRP에 참가했던 14학번 학부생에게 UGRP 주제가 정확한지 확인을 요구하는 것이었다. 문제는 해당 메일에 첨부된 파일인 ‘졸업 예정(2017. 11. 27)’에 졸업예정자 102명의 이름, 학번, 성별, 학기 차수, 학적 상태, 취득 학점, 취득 평점, 공통필수 이수학점, 교선필수 이수학점이 포함되어 있었다는 것이다. 이영환(’14) 학부생은 10시 41분에 해당 문제를 발견한 후 학부지원팀에 문제를 알렸고, 학부지원팀은 10시 47분에 해당 메일 발송을 취소했다.

발송 취소 후 학생들에게 전송된 사과문<출처 = DGIST 학부생 그룹>

 

  그러나 전산 시스템상 메일 발송 취소는 메일을 확인하지 않은 수신자에게만 적용할 수 있으며, 이미 메일을 확인한 사람들에게 전달된 파일은 다시 수거할 수 있는 방법이 없다. 따라서 이미 DGIST 내부의 다수에게 해당 목록에 있는 개인정보가 노출되었다. 이에 대한 학부지원팀의 대응은 다시 한 번 학부생들의 분노를 조장했다. 해당 메일을 수신한 학생들에게만 개인정보 유출에 대한 양해 및 유출 방지에 대한 당부의 메일을 보내고, 개인정보가 유출당한 학생들에게는 어떠한 사과의 문장도 없었다. 학생들이 자정하여 유출을 방지하고자 하는 움직임을 보이고 있지만 이를 강제적으로 통제할 수단은 현재 마련되어 있지 않고, 악용될 가능성 역시 배제할 수 없다.

  법률적으로 본인의 동의 없이 제3자에게 개인 정보(사회 경력에 해당하는 내용)를 제공하는 행위는 개인정보보호법 제18조 1항^[각주:1]을 위반하는 행위로, 형법상 징역 5년 이하, 5000만원 이하의 벌금형에 처할 수 있다. 따라서 이는 졸업당사자 학생들이 해당 직원을 고소할 수 있는 근거가 된다. 이번 사건에 대해 피해자뿐만 아니라 총학생회 차원에서의 대응도 필요할 것으로 보인다.

  디지스트신문 DNA에서는 이번 사건에 대해 후속 기사를 통해 진행 경과를 보도할 것이다.

  한편 문제된 파일은 학사지원팀에서 최초로 작성되었으며 학부지원팀을 통해 학생들에게 메일로 송부되었다.

오서주 기자 sjice@dgist.ac.kr

1. 개인정보보호법 제18조 1항. 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. [본문으로]