SAAS. 사진=SAAS


대규모 개인정보 유출 논란이 반복되며 개인정보는 사회 인프라라는 인식이 커지고 있다. 정부도 주요 IT 시스템 전반을 점검하겠다고 밝혔다. 그러나 공공 현장에는 매일 반복되지만 간과되기 쉬운 '작고 위험한 구멍'이 남아 있다. 온라인 설문, 행사 신청, 교육 접수, 상담 예약 같은 업무다.
이 업무는 링크 하나로 국민과 연결된다. 문제는 그 링크가 기관 내부 시스템이 아니라, 기관이 승인·계약하지 않은 외부 SaaS(개인계정 포함) 로 연결되는 순간부터 시작된다. 모바일야마토 접근통제, 접속기록, 보관 위치, 파기증적이 흐려지면 사고가 났을 때 원인 규명과 피해 통지가 어려워진다. 실제로 공공기관 유출 신고에서도 공공 비중이 적지 않다는 분석이 나온다.
현장에서 자주 나오는 말은 익명 설문이라 괜찮다는 주장이다. 하지만 웹 서비스는 설문 문항과 별개로 IP, 쿠키, 방문·이용기록 같은 접속정보가 자동으로 남을 바다이야기릴게임연타 수 있다. 또한 소규모 조직에서 부서·직급·근속 같은 조합형 질문, 응답 시각, 서술형 답변이 결합되면 특정인이 추정될 여지도 커진다. 핵심은 특정 서비스가 아니라, 기관 통제 밖 도구를 쓰는 순간 발생하는 구조적 리스크다.
외주 용역은 '우회로'가 되기 쉽다. RFP·계약서에 어떤 도구로 개인정보를 수집·처리할 것인지 요건이 없으면 수 바다이야기릴게임연타 탁사가 임의 도구를 쓰고 기관은 결과만 받는 구조가 될 수 있다. 개인정보보호법은 위탁 관리·감독 의무를 두고 있지만 그 의무가 RFP 문장·검수 조건·증적 제출로 구체화되지 않으면 현장에서 작동하지 않는다.
해법은 단순하다. 공공 업무의 디지털 전환은 피할 수 없지만, 개인정보가 오가는 업무라면 보안이 검증된 클라우드/SaaS를 쓰는 원 오션릴게임 칙이 필요하다. 이를 현장 규칙으로 만들기 위해 다음 3가지 '집행장치'를 제안한다.
1. 지침(공문): 개인정보 포함 온라인 업무는 “내부 시스템 또는 CSAP(동등수준 포함)”로 처리, 미승인 외부 서비스(개인계정 포함) 금지
2. 표준조항: 외주 RFP/계약에 도구 요건, 재위탁 통제, 접속기록·파기 증적을 검수 조 야마토통기계 건으로 의무화
3. 평가 반영: 개인정보 보호수준 평가에 '외부 SaaS 통제' 항목 신설(도구 목록 제출, 무단 사용 점검 등)
대형 시스템 점검만으로는 충분치 않다. 국민이 가장 자주 마주치는 공공 서비스의 출발점이 '설문 링크'와 '신청 폼'이라면 그 지점부터 사전예방 체계를 세워야 한다. 공공은 사고 뒤 수습이 아니라 사전예방 기준으로 현장을 바꿀 책임이 있다.
이원지 기자 news21g@etnews.com