[미디어태희]

재단법인 충북테크노파크(원장 박순기)가 최근 감사를 하면서 부서장 IP접속기록을 요구한 것으로 알려져 논란이 제기되고 있습니다.

충북테크노파크는 지난 해 말 전직원을 대상으로 '2025년 자체종합감사 관련 보안 점검'을 하면서 각 부서장 PC의 IP 접속기록 전체(접속시간·접속주소·행동 패턴 포함)를 제출하도록 요구한 것으로 알려졌습니다.

이 과정에서 충북테크노파크는 해당자료 수집에 대한 목적과 법적근거를 제시하지 않았고, 직원들에게 개별적이고 구체적인 동의를 받지 않은 것으로 알려졌습니다.

또한 충북테크노파크는 ‘임직원의 인터넷 이용 기록을 상시 모니터링할 수 있다’는 내용의 규정이 없습니다.

이에따라 이번 감사가 정보통신망법 및 통신비밀보호법을 위반한 것 아니냐는 의혹이 제기되고 있습니다.

한 개인정보보호 전문가는 “규정에도 없고 동의도 받지 않았다면 일방적인 제출요구는 위법할 수 있다”며 “특히 부서장의 동의없이 시스템 관리자에게 직접 자료를 넘기라고 강요한다면, 이는 개인정보의 목적 외 이용 및 제3자 제공 위반이 될 수 있다”고 밝혔습니다.

여기에 직무 위반여부를 확인하기 위해 모든 접속 기록과 패턴을 보는 것은 개인정보보호법 위반소지가 있다는 지적도 나오고 있습니다.

이 전문가는 “접속 주소(URL)나 행동 패턴은 해당 사용자가 어떤 사이트에 방문했는지, 어떤 게시물을 보았는지 등 지극히 사적인 영역을 포함한다”며 “단순 접속 시간을 넘어 행동 패턴까지 분석하는 것은 개인의 성향이나 사생활을 프로파일링하는 행위로 간주될 수 있어 더욱 엄격한 잣대가 적용되어야 한다”고 밝혔습니다.

또 다른 전문가는 "모든 접속기록을 요구한 건 개인정보보호법상 최소수집의 원칙, 비례의 원칙 위배”라며 "개인정보를 수집하는데 동의가 꼭 필요하기 때문에 일부 피감기관 직원은 상급기관이 요구하는 개인정보를 내지 않는 경우도 비일비재하다"고 밝혔습니다.  

<미디어태희>는 IP기록 수집의 법적근거, 어느정도로 기록을 검색했는지, 근거규정, 개인동의 여부 등에 대해 질의를 했지만, 충북테크노파크측은 구체적인 답변을 하지 않았습니다.

충북테크노파크측은 “이번 감사는 최근 민간 및 공공 영역에서 빈번히 발생하는 보안 사고에 선제적으로 대응하고 재단의 정보 자산을 보호하기 위해 공공감사에 관한 법률과 재단 감사규정에 의거해 적법한 절차를 거쳐 실시된 정당한 정보보안 관리실태 점검”이라고 밝혔습니다.

또한 “질의내용은 감사의 공정성과 독립성을 확보하기 위해 대외에 공개할 수 없는 감사상 기밀에 해당한다”며 “공식적인 정보공개청구 절차를 이용하여 정확한 자료를 특정하여 요구해 주면 관련 법령에 따라 검토 후 성실히 답변드리도록 하겠다”고 답변했습니다.