[단독] 건보공단, 1000명 이하 개인정보 유출 '쉬쉬'…5년간 8건 자체 처리

[세종=뉴스핌] 신도경 기자 = 최근 5년간 국민건강보험공단(건보공단)이 개인정보보호위원회(개보위)에 신고하지 않고 자체 처리한 개인정보 유출 사례가 8건으로 집계됐다.

1000명 이하의 개인정보가 유출되거나, 연락처, 직장, 재산 등 일반적인 개인정보가 빠져나간 경우 개보위 신고 기준에서 빠진 탓에 깜깜이 개인정보 유출이 발생하는 것이다.  

24일 서미화 더불어민주당 의원실이 건보공단으로부터 제출받은 자료에 따르면, 최근 5년 동안 개보위에 보고되지 않고 건보공단이 자체 처리한 개인정보 유출 건수는 8건이다.

현행 '개인정보보호법 제40조'는 공공기관이나 사업자가 개인정보 유출 사실을 알게 된 경우, 서면 등으로 72시간 이내에 개보위에 신고해야 한다. 신고 의무는 ▲1000명 이상의 정보 주체에 관한 개인정보 유출 ▲민감정보 또는 고유식별정보 유출 ▲외부로부터의 불법적인 접근에 의한 개인정보 유출로 한정 돼 있다(표 참고).

'개인정보보호법 23조'에 따른 민감정보는 신체적·생리적·행동적 특징에 관한 유전정보(지문·홍채·얼굴), 범죄경력자료에 해당하는 정보, 건강·성생활 등에 관한 정보(병력·장애여부·장애등급), 정치적 견해에 관한 정보, 노동조합 또는 정당의 가입·탈퇴, 사상 또는 신념에 관한 정보, 인종이나 민족에 관한 정보가 해당된다.

고유식별정보는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호만 해당된다. 연락처, 성명, 직장 정보, 주소 등은 신고 조건에서 제외된다. 즉 연락처, 성명, 직장 정보, 주소 등의 개인정보는 무한정 빠져나가도 개보위 신고 대상이 아니라는 의미다. 

더욱이 개보위 신고 의무가 1000명 이상의 개인정보 유출로 한정돼 있다 보니, 1000명 이하의 개인정보가 빠져나간 경우는 기관 내부에서 쉬쉬하고 넘어가기 일쑤다. 

개보위 신고 대상 기준에 따라 건보공단이 최근 5년간 개보위에 보고하지 않고 내부에서 처리한 건 총 8건이다. 2020년 0건, 2021년 4건, 2022년 1건, 2024년 2건, 2025년 1건 등이다. 개보위에 신고를 하지 않기 때문에, 내부 제보가 아니면 개인정보 유출 피해자조차 이 사실을 알 수 없다. 

건보공단 개인정보 유출 사례를 살펴보면, 2021년 4건의 유출로 국민의 건강보험 자격·소득 정보, 진료내역, 주민등록번호, 직장명, 직장 주소가 유출됐다. 주민등록번호가 유출됐음에도 불구하고 개인정보보호법이 개정된 2023년 9월 15일 이전에는 1000명 이상의 정보주체가 포함된 경우만 신고 의무가 있어 별도 신고가 이뤄지지 않았다.

2022년에는 1건의 정보 유출로 자격변동, 재난지원금 신청 여부, 환급금 발생여부, 피부양자 등재, 주소, 직장 재직 여부가 모두 새나갔다. 2024년 발생한 2건의 개인정보 유출로 주소, 직장정보 등이 빠져나갔다. 

건보공단은 지난해 체납보험료 납부를 독려하는 과정에서 특정 체납자의 휴대폰번호가 포함된 문자를 전혀 관련 없는 제3의 체납자 16명에게 실수로 발송하기도 했다. 정보가 유출된 피해자는 1명당 100만원씩 계산해 총 1600만원을 요구했다.<관련기사 참고 : 건보공단, 체납 독려하다 개인정보 유출…피해자 "1600만원 보상해라">

올해에는 성명, 생년월일, 전화번호, 자격번호, 등급, 인정관리번호, 계약기간, 인정유효기간이 유출된 1건이 발생했다. 장기요양기관 포털의 전산 오류로 장기요양기관 대표자, 종사자, 수급자 등 총 182명의 개인정보가 노출됐다.

정부 관계자는 "사소한 실수가 반복돼 큰 사건이 일어난다"며 "고유식별정보 항목에 연락처 등을 포함하도록 법을 개정해 공공기관이 개인정보 유출을 꼼꼼하게 관리하도록 하고 이런 (위 사례) 부분도 개보위에 신고를 당연히 하도록 해야 한다"고 지적했다.

서 의원은 "최근 금융, 통신, 공공기관 등 개인정보 유출 사고가 발생해 심각한 사회 문제로 대두되고 있다"며 "작은 부주의가 2차 피해로 이어질 수 있는 만큼 공공기관은 바로 개보위에 신고하고 철저히 대응해야 한다"고 강조했다.

건보공단은 "개인정보 보호 교육 외에도 개인정보 파일의 외부 반출 시 관리자 사전 승인 제도 도입, 파일(개인정보 포함) 자동 암호화 등 다양한 기술적 보호조치를 수행하고 있다"며 "앞으로 개인정보 유출, 무단열람·조회, 부정이용, 관리소홀이 근절될 수 있도록 대책을 지속적으로 마련해 비슷한 사례가 발생하지 않도록 노력하겠다"고 해명했다.

[email protected]