특히 민간기업과 달리 공공기관 특성상 징벌적 과징금 부과가 어려운 만큼, 위반 사실을 전면 공표하고 징계를 강화해 실질적 제재를 가하겠단 방침이다.
송경희 개인정보보호위원회 위원장이 5일 정부서울청사에서 기자간담회를 진행하고 있다. (사진=개인정보위)
21일 개인정보위는 올해 집중관리 시스템에 해당하는 57개 공공시스템을 운영하는 38개 기관을 점검한 결과, 이행이 미흡한 36곳에 시정권고를 내렸다고 발표했다.
이는 개인정보위가 ‘집중관리 시스템 안전조치 특례 제도’에 따라 100만 건 이상 개인정보를 보유하거나 민감정보를 다루는 공공시스템 운영기관을 대상으로 지난해 9월 강화된 안전조치 의무(10대 과제)를 신설한 데 따른 사전 점검 결과다.
안전조치는 시스템 관리체계(△개인정보보호 협의회 설치·운영 △책임자 지정 △안전조치방안 수립), 접근권한 관리(△인사정보 연계 △비공무원 계정발급 절차 도입 △접근권한 현행화), 접속기록 점검(△이용기관 접속기록 점검 △이상행위 탐지), 인력 및 시스템 확충(△전담인력 확충 △시스템 개선계획 수립) 등으로 구분된다.
총 38개 기관 중 10대 과제를 모두 이행한 곳은 2곳(국세청·한국부동산원)뿐으로, 나머지 36곳은 시정권고 처분을 받았다. 시정권고를 수용하지 않으면 점검이 아닌 조사 단계로 전환되고, 경우에 따라 시정명령과 과태료 처분 등이 내려질 수 있어 대부분은 권고를 수용할 것으로 보인다.
내년부터 상시 평가 돌입…과징금에 더해 실질 제재 확대
개인정보위는 2023년부터 올해까지 3년간 진행된 사전 점검 기간을 마치고, 내년부터는 ‘공공기관 보호수준 평가’를 통해 상시 점검체계로 전환하겠다고 밝혔다.
특히 평가에서 위반 사항이 적발될 때 실질적 제재를 가하겠다는 방침이다. 최근 해킹 및 정보 유출 사고가 민간과 공공을 막론하고 잇따르고 있지만, 민간기업 대비 공공기관에 대한 제재는 상대적으로 약하다는 지적이 많았다.
실제 개인정보위는 2023년 북한 해킹조직으로부터 환자 81만여 명 정보를 탈취당한 서울대병원, 2만7000여 명의 주민등록번호를 가림 처리 없이 노출한 국토교통부 등 공공기관에 사상 첫 과징금을 부과했으나 당시 액수는 각각 7500만 원, 2500만 원 수준에 그쳤다. 이는 올해 4월 유심정보 유출 사태로 1348억 원의 과징금이 부과된 SK(034730)T 사례와 극명하게 대비된다.
강대현 개인정보위 조사총괄과장은 “공공기관은 민간기업과 달리 매출 기반으로 과징금을 부여할 수 없고 세금으로 20억 원 미만 정액 과징금이 나가다 보니 처분에 한계가 있었다”며 “평가 체계를 통해 주기적으로 점검하고 정보보호 수준을 등급화해 전면 공표하는 한편 유출 책임자에 대한 징계 조치를 강화할 것”이라고 말했다. 전면 공표제를 통해 매년 국정감사에서 국회로부터 질책과 시정을 요구받는 등 압박이 커질 수 있고, 개인에 대한 징계 역시 위반 강도에 따라 파면까지 가능하다는 설명이다.
강 과장은 “기획재정부의 ‘공공기관 경영평가’에 각 기관의 정보보호 조치가 0.25% 수준으로 반영되고 있어, 실제 정보 유출 사고가 발생한 기관장이 해임된 사례도 있다”며 “기관의 책임을 강화할 수 있도록 현행 0.25% 반영 비율도 상향할 수 있도록 노력 중”이라고 전했다.
개인정보위는 내부 접근통제 중심이던 기존 제도를 향후 해킹 등 외부의 불법적인 접근통제까지 강화할 수 있도록 제도 전반을 개선할 계획이다.
특히 반복되는 공공기관 유출 예방을 위해 모의해킹, 필수점검 항목 지정 등 취약점 점검 의무를 구체화하기로 했다.
또한 개인정보 취급자의 부주의로 인한 개인정보 유출을 방지하기 위해 교육 콘텐츠를 제작·배포하는 등 공공기관 교육을 강화하고, 유출 사례를 공유해 주관부처를 통한 산하기관 취약점 점검 조치를 하게 할 예정이다. 개인정보 수탁업체 등 관리 사각지대에 대한 감독도 강화한다.
개인정보위는 “내부 접근뿐만 아니라 해킹에 대해서도 강화된 기준을 도입하고, 특히 3개의 파트 인적 과실, 웹 취약점 관리 사각지대라는 3개 분야에서 보완 방안을 마련해 선제적 예방 조치를 확대하겠다”고 강조했다.
