“농진청, 동의 없는 비밀번호 변경”…서삼석, 개인정보법 위반 지적

개인정보 해킹 사고와 정부기관의 사후 대처를 둔 충돌이 국회 차원에서 재점화됐다. 더불어민주당 서삼석 의원이 농촌진흥청의 비밀번호 일괄 변경 조치가 개인정보보호법을 위반했다며 책임 소재를 집중 추궁했다.

서삼석 더불어민주당 의원(영암·무안·신안)이 13일 농촌진흥청으로부터 국정감사 자료를 제출받은 결과, 올해 4월 농진청이 운영하는 5개 홈페이지에서 총 47만9천여 건의 개인정보가 외부 해킹으로 유출된 사실이 드러났다. 해킹은 홈페이지 용역업체 사무실 저장장치가 외부 공격을 받아 발생했으며, 지역별 피해 규모는 경기 3만2천982건, 경북 2만6천959건, 전남 2만5천710건, 경남 2만2천220건, 전북 1만7천323건, 강원 1만7천174건 등 전국적으로 광범위했다.

서삼석 의원은 해킹 피해 자체 못지않게 사후 대책에도 중대한 하자가 있었다고 꼬집었다. 서 의원에 따르면, 농진청은 가입자 동의나 통보 절차 없이 해킹 피해자 전원의 비밀번호를 한꺼번에 변경했고, 이 과정에서 피해자들에게 별도의 안내도 이뤄지지 않았다.

농진청 측은 “해킹 피해 확인 직후 개인 전화 및 홈페이지를 통해 비밀번호 변경을 안내했으나, 자발적 변경률이 낮았다”고 설명했다. 이어 “추가 피해 방지를 위해 개인정보보호법 제34조에 따른 ‘피해 예방 조치’로 비밀번호를 일괄 초기화했으며, 초기화된 비밀번호는 가입 당사자만 직접 확인할 수 있게 했다”고 해명했다.

논란이 확산되자 서삼석 의원은 “개인정보보호법 제39조에 따르면 비밀번호 변경에는 정보주체의 명시적 동의를 받아야 한다”며 “그 취지가 어떻든 개인정보처리자가 타인의 비밀번호를 임의로 변경하는 행위는 명백한 법 위반”이라고 강조했다. 서 의원은 또 “국정감사에서 농진청의 해당 조치가 적법한지, 책임 소재까지 철저히 검증하겠다”고 못 박았다.

농진청의 해명에도 불구하고 개인정보 유출과 사후 대응을 둘러싼 우려가 커지고 있다. 여야는 향후 국정감사에서 정부기관의 개인정보 처리 관행과 법적 책임 문제를 두고 치열한 공방을 벌일 전망이다.