[쿠키뉴스] 노상우 기자 = 혈액 수급과 헌혈자 혈액 정보관리 등 혈액 사업 전반의 업무를 수행하는 대한적십자사가 지난해 외부민간기관에 헌혈자들의 개인정보를 무단으로 전달한 것으로 확인했다.

더불어민주당 최혜영 의원이 대한적십자사로부터 제출받은 자료에 따르면, 지난해 9월 대한적십자사 혈액관리본부 소속 A직원은 민간기관과 다자 업무협약을 추진하던 중 헌혈자의 정보가 담긴 헌혈 정보 약 176만 건을 ‘MOU 체결의 당위성 설명을 위한 시연회’ 사용 목적으로 외부민간기관인 카이스트에 허가 없이 임의 제공한 것으로 나타났다. 

해당 자료는 SKT와 카이스트의 제안으로 헌혈자의 행동패턴을 분석해 헌혈증진방안을 연구할 목적으로 제공되었는데 △헌혈장소 △성별 △직업군 △헌혈종류 △나이 △헌혈구분 △혈액형 △헌혈종료시간 △기념품 수령 내역 등 총 9종의 정보가 포함돼 있었다.

대한적십자사가 해당 사건과 관련한 법 위반 여부 검토 결과에 따르면 “해당 외부유출자료는 개인정보보호법상 개인정보 중 가명 정보에 해당할 가능성이 높다”는 답변과 함께 “가명정보 역시 ‘개인정보’에 해당한다”는 답변을 받은 것으로 드러났다.

또 통신사인 SKT가 자체적으로 보유, 수집, 처리 또는 접근할 수 있는 정보가 해당 유출자료와 결합해 개인을 식별할 수 있는 내용이라면 해당 자료는 개인정보에 해당할 가능성이 있다고 가능성을 열어둔 바 있다. 

외부민간기관에 자료를 제공할 당시는 협약이나 용역사업추진을 위한 내부결재도 선행되지도 않았던 시기인 것으로 확인됐는데 현재까지도 해당 기관과 실질적인 협약이나 용역계약은 체결되지 않고 있는 것으로 나타났다.

문제는 외부기관으로 무단반출된 이후, 제3의 기관으로 가공 자료가 전송되는 등 추가 유출이 발생했음에도 대한적십자사에서는 사건에 가담한 두 직원에 대해 절차상의 문제로 ‘감봉 3개월’, ‘견책’의 솜방망이 처분을 내렸고, 해당자는 ‘이름’, ‘주민번호’ 등 개인을 특정할 수 있는 정보가 없어 단순 자료라는 점 때문에 반출된 사실에 큰 문제가 없다는 입장을 보이고 있는 것이다.

심지어 해당 사건이 수면 위로 떠오른 것은, 익명의 제보자가 대한적십자사 헬프라인을 통해 2차례에 걸쳐 신고접수를 하여 비로소 점검 절차를 밟게 된 것으로 확인됐다. 

대한적십자사는 이러한 상황임에도 개인정보 보호활동에 대해 잘하고 있다고 평가했다. 대한적십자에서는 개인정보 보호법 및 대한적십자사 지침에 따라 매년 기관의 개인정보 관리실태 및 개인정보 보호활동 등을 점검하고 있는데, 혈액관리본부는 2020년 점검에서는 5개 부문 중 3개 부문에서 100점을 받았던 것으로 드러났다. 이 중에는 제3자 제공 절차에 평가항목이 포함된 ‘보호대책 부문’에서도 ‘만점’을 받은 것으로 확인되어 대한적십자사 정보보안 평가 관리에 대한 미비점이 확인됐다.

최혜영 의원은 “헌혈자의 혈액정보는 상당히 민감한 정보로써 지침에 따라 엄격히 관리돼야 함에도 176만건이 아무런 근거나 형식적 절차 없이 제공된 것은 대한적십자의 안일한 개인정보 관리 인식을 보여주는 사례”라며 “헌혈자 및 혈액정보관리에 허점이 생기지 않도록 직원 기강은 물론 실태점검을 통해 대책을 마련할 필요성이 있다”고 지적했다.

nswreal@kukinews.com