희망자료 신청 결과 안내 파일
요청자 205명 개인정보 노출
3년 다 되도록 모른 채 방치해
부산 동래구 한 도서관 사과문
구청 “2차 피해 사례는 없었다”

지난달 25일 부산 동래구의 한 도서관 홈페이지에 게시된 사과문. 도서관 홈페이지 캡처

부산 동래구의 한 공공도서관 홈페이지에 이용객 200여 명의 이름과 연락처가 1년 넘게 노출된 사실이 뒤늦게 드러났다. 희망 도서 선정 결과를 안내하는 게시글에 불필요한 개인정보가 포함됐고, 이를 가리는 마스킹 처리도 미흡하면서 개인정보가 홈페이지에 그대로 공개된 것이다.

25일 부산 동래구청에 따르면 구청이 운영하는 A 도서관 홈페이지에서 도서관 이용자들의 이름과 연락처가 노출된 사실이 지난달 20일 확인됐다. 이용자들이 신청한 도서관 비치 희망 자료에 대한 선정 결과가 담긴 게시물의 첨부 파일에 신청자 이름과 연락처가 기재돼 있었다.

구청 조사 결과 A 도서관 홈페이지에 등록된 게시물 총 5건에서 개인정보가 노출된 사실이 확인됐다. 모두 희망 자료 선정 결과를 안내하는 게시물에 첨부된 파일이었다. 게시물들은 2023년 9월부터 2025년 5월 사이 등록됐다. 구청이 파악한 피해 인원은 총 205명이다. 구청은 해당 파일들을 모두 삭제했고, 피해 대상자들에게 안내 문자를 보냈다.

쉽게 접근할 수 있는 공공도서관 홈페이지에 3년 전부터 이용객들의 개인정보가 떠다니고 있었지만, 구청은 최근에야 이 사실을 파악했다. 지난달 20일 한 이용객이 구청에 “본인의 연락처가 도서관 홈페이지에 공개돼 있다”는 취지로 신고하면서다. 이 게시물들의 조회수는 현재 대부분 100회를 넘겼다.

애초에 불필요한 개인정보가 포함된 점이 이번 사태의 핵심 문제로 지적된다. 부산 지역 공공도서관 대부분은 A 도서관과 마찬가지로 희망 도서 처리 결과를 홈페이지에 공개한다. 하지만 신청자의 연락처까지 포함하는 사례는 찾아보기 어렵다. 통상 도서 정보만 게시하거나, 이름과 회원 번호 정도만 포함해 유출 시에도 피해를 최소화하고 있다. 해운대구와 영도구 등 일부 지자체에서는 아예 결과를 공개하지 않고 신청자에게 문자 메시지로 개별 안내하는 방식도 활용하고 있다.

동래구청은 이번 사고의 원인을 담당 직원의 실수로 보고 있다. 마스킹(본인 외 식별하기 어렵도록 개인정보 일부를 가리는 작업) 처리가 제대로 이뤄지지 않으면서 개인정보가 그대로 노출됐다는 설명이다. 마스킹 처리가 안 된 희망 자료 선정 목록 원본이 게시용과 함께 올라간 경우도 있었다.

공문 처리 등 내부 행정망에서는 문서에 개인정보가 포함될 경우 시스템이 이를 자동으로 감지한다. 하지만 홈페이지에 첨부 파일을 게시하는 과정에서는 별도의 안전장치가 없어 사전 차단이 어려운 구조라는 지적도 나온다.

A 도서관은 매월 희망 자료 신청 선정 결과를 홈페이지에 공개해 왔다. 본인이 신청한 자료 외에도 전체 신규 자료를 알고 싶어 하는 이용객들의 편의를 위해 로그인 없이 전체 희망 도서 선정 결과를 열람할 수 있도록 했다.

동래구청은 앞으로 희망 자료 신청 선정 결과를 공개할 때 신청자 이름과 연락처 등 개인 정보는 내용에 포함하지 않기로 했다. 동래구청 평생교육과 관계자는 “현재까지 접수된 2차 피해나 의심 사례는 없다”며 “문제가 재발하지 않도록 대책을 마련하겠다”고 밝혔다.

김동우 기자 friend@busan.com