A씨는 최근 황당한 일을 겪었다. 그는 페이스북의 개인정보 제3자 무단 제공 문제에 대응하기 위해 집단분쟁 조정 신청을 한 적 있다. 지난 4일 A씨는 개인정보보호위원회 산하 개인정보 분쟁조정위원회로부터 이메일을 통해 분쟁 조정 결과를 통보 받았는데, 이상한 첨부파일이 있었다. 첨부파일을 열어보니 A씨 본인과 그가 알지 못하는 180명의 이름과 전화번호, 주소 등 개인정보가 담긴 리스트가 있었다.

개인정보 유출과 오남용을 감시하고 처벌하는 개인정보보호위원회가 개인정보를 유출하는 사태가 벌어졌다. 확인 결과 개인정보보호위원회의 유출 사고는 개인정보보호위 조사 대상이 될 수도 있는 상황이다.

개인정보보호위위원회 산하 개인정보 분쟁조정위원회는 페이스북에 집단 조정을 신청한 이들 가운데 19명에게 결과를 통지하는 메일을 보내는 과정에서 신청인 181명 전체 명단, 생년월일, 주소가 담긴 문서를 잘못 첨부했다. 개인정보 분쟁 조정은 정부나 기업의 개인정보 분쟁이 있을 때 빠르게 당사자 피해 구제가 가능하도록 논의하는 절차다. 여러 이용자들이 같은 문제에 대한 분쟁 조정을 신청할 경우 ‘집단 분쟁 조정’이 가능하다.

개인정보보호위 분쟁조정과에 따르면 담당자가 실수로 파일 첨부를 잘못해 19명에게 메일을 잘못 보냈다. 페이스북 분쟁조정 신청자는 법무법인 지향을 통해 신청한 시민 162명과 개인 자격으로 신청한 시민 19명으로 나뉜다. 이 가운데 개인 자격으로 신청한 19명에게 ‘전체 리스트’를 잘못 송부한 것이다.

개인정보보호위원회는 11월 4일 결과 통보 메일을 보낸 뒤 닷새만인 9일 메일을 받은 시민의 문제 제기로 유출 사실을 알게 됐다. 닷새 동안 문제가 있는지조차 몰랐던 것이다. 개인정보위 분쟁조정과 관계자는 “개인정보보호위는 신청인 181명에게 모두 전화를 돌려 사과했고 삭제를 요청드린 상황”이라고 설명했다.

개인정보보호위는 10일 기자들에게 설명자료를 배포하고 “직원의 과실이 발생한 구체적인 경위 등에 대해 엄정하게 조사하고 필요한 조치를 취할 예정”이라고 밝혔다. 

이와 관련 일부 피해자는 개인정보보호위가 소속 직원 조사와 징계를 하는 차원을 넘어 개인정보보호위 ‘기관’에 대한 조치가 가능한지 문의하기도 했다.

이번 개인정보 유출 사고에 개인정보호위원회가 대응할 수 있을까? 우선 이용자들이 집단 분쟁 조정을 신청할 수 있다. 개인정보보호위 분쟁조정과 관계자는 “이번 사고 역시 신청을 하시면 개인정보 분쟁조정 대상이 될 수 있다”고 설명했다. 집단분쟁조정 업무 과정에서 빚어진 문제가 집단분쟁 대상이 될 수 있는 얘기다.

개인정보보호위 차원에서 ‘조사’와 ‘처벌’도 가능하다. 개인정보보호위 대변인실 관계자는 “실제 이와 같은 사건도 조사 대상인 것은 사실”이라고 설명했다. 다만, 개인정보보호위원회에 따르면 유출된 정보의 성격과 정도, 고의성, 이후 대응 방식 등을 종합적으로 판단하는데 이와 유사한 상황에선 실제 처벌보다는 ‘개선권고’ 처분을 해왔다.

2019년 개인정보보호위원회는 보건복지부 사회복지시설 정보시스템에 한부모 가정의 아이 이름 등 개인정보가 노출된 문제에 자료 삭제와 재발 방지를 위한 제도 개선을 권고한 바 있다.