국토부에는 개선 권고…"공공기관 개인정보시스템 처분 첫 사례"

양청삼 개인정보보호위원회 조사조정국장이 22일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 '흥신소에 개인정보 유출 관련 수원시 조사결과 발표'를 브리핑을 하고 있다 [사진 : 개인정보보호위원회]
양청삼 개인정보보호위원회 조사조정국장이 22일 오후 서울 종로구 정부서울청사 3층 합동브리핑룸에서 '흥신소에 개인정보 유출 관련 수원시 조사결과 발표'를 브리핑을 하고 있다 [사진 : 개인정보보호위원회]

[디지털투데이 백연식 기자] 중앙정부와 지방정부가 공동으로 사용하는 대규모 개인정보처리시스템에서 국민의 개인정보가 무더기로 유출된 가운데, 개인정보보호위원회가 수원시청에 과태료 360만원을 부과하고 시정조치를 명령했다. 개인정보 보호를 강화할 필요가 있다고 인정된 국토교통부에도 개선 권고를 내렸다. 불법이 발생한 자치단체에 대한 과태료가 360만원에 그쳐 솜방망이 처벌이라는 지적을 피하기 어려울 듯 보인다. 개인정보위는 다른 지자체 현황에 대해서는 아직 조금 제한적으로만 파악을 한 상황이다. 

개인정보위는 22일 오전 정부서울청사에서 열린 제11회 전체회의에서 앞서 설명한 내용의 처분을 의결했다.

앞서 지난 1월 개인정보위는 수원시 권선구청 소속 공무원이 흥신소에 개인정보를 유출했다는 신고를 받고 수원시와 국토부에 대한 조사에 착수했다.

앞서 지난 1월 11일 개인정보위는 수원시 A 공무원이 개인정보를 흥신소에 유출했다는 신고를 받았다. 해당 유출 신고는 지난해 12월에 발생한 송파구 가족살인 사건과 관련이 있다.

개인정보위는 공공기관의 개인정보 유출사건에 대한 국민적 우려를 해소하기 위해 지난 1월 17일 수원시를 비롯해 유출 관련 개인정보처리시스템을 관리하는 국토부에 대한 조사에 나섰다.

조사 결과, 해당 수원시 A 공무원은 수원시의 자치사무인 ‘불법노점 단속’ 업무와 ‘건설기계조종사면허 발급’ 업무를 수행했던 것으로 드러났다. 해당업무를 수행하기 위해 부여받은 자동차관리정보시스템과 건설기계관리정보시스템의 사용권한으로 타인의 개인정보를 무단으로 조회해 약 2년 동안 흥신소 업자에게 주소 등 개인정보 1101건을 유출한 사실도 밝혀졌다.

이 시스템을 이용하면 민원신청 대상이 아니더라도 차량번호나 성명+주민등록번호 조합으로 모든 국민의 개인정보 조회가 가능하다.

이번 사안은 전 국민을 대상으로 개인정보를 다루는 공공기관의 대규모 행정시스템에 대해 개인정보 법령 위반 여부를 조사하고 처분한 첫 사례다.

개인정보위는 수원시가 개인정보처리자로서 국토부장관의 승인을 받지 않고 업무 목적 이외로 불법노점단속 업무에 개인정보를 활용한 것은 개인정보 보호법 위반에 해당한다고 판단했다.

또 수원시는 해당 공무원에게 업무에 필요한 최소한의 범위를 벗어난 더 상위의 접근권한을 부여했다. 이 역시 개인정보보호법을 위반했다는 것이 개인정보위의 입장이다. 

해당 공무원이 개인정보보호 교육을 이수하도록 관리하지 않는 점 등도 개인정보 보호법 상 관리·감독 의무를 위반한 것으로 판단됐다.

그럼에도 불구하고 개인정보위는 개인정보 보호법을 위반한 수원시에 대해 겨우 360만원 과태료 조치를 내렸다. 

이날 브리핑에서 정혜원 개인정보위 조사총괄과장은 “피해가 굉장히 컸고 그 피해 규모는 사실 금액으로 환산되기 어렵다”며 “개인정보위가 위법사항을 검토해서 그것에 상응하는 과태료를 내렸지만 법령에 의해서 하는 것”이라고 설명했다. 

심지어, 개인정보위는 다른 지자체 현황에 대해서는 아직 조금 제한적으로만 파악을 했다. 이날 브리핑에서 양청삼 개인정보위 조사조정국장은 “이 사건과 관련해서는 구체적으로 건설기계관리시스템에서 다른 지자체에서 어떤 식으로 접근권한을 부여하고 있는지는 조사하지 않았다”며 “목적 외 이용 부분과 관련해서는, 중요한 문제여서 수원시를 제외한 다른 지자체에서 어떻게 활용하는지를 조금 검토를 했는데 10개 정도 전국 지자체를 조사해 본 결과 다른 부처에 광범위하게 이게 퍼져 있지는 않다는 않지만 수원시와 같은 사례는 충분히 있을 수 있어서 이 부분은 공공부문 유출대책에 반영해 하반기에 체계적으로 조사할 예정”이라고 말했다.  

위반 사항 중 목적외 이용과 관리감독 위반은 형사처벌 사안이다. 개인정보위는 고발에도 나서지 못했다. 내부 고발 기준 상 금지행위, 비밀누설, 개인정보 유출에 따른 공공기관 업무의 심각한 영향 초래 등의 기준에 해당 사건이 해당하지 않는다고 판단한 것이다. 유출된 항목이 주소여서 고발 기준에 맞지 않는다는 것이 개인정보위의 판단이다.

개인정보위는 수원시에 과태료 처분과 함께 법 위반 관련 책임자를 징계할 것을 권고했다. 개인정보를 불법 유출한 공무원은 지난 3월 31일자로 파면조치됐다.

이번 조치로 국토부는 시스템 개선안을 마련해야 한다. 각 지자체들이 불법노점 단속시 자동차관리시스템을 이용하는 지 현황을 파악하고, 업무에 필요한 최소한의 개인정보에만 접근할 수 있도록 시스템을 개선해야 한다.

윤종인 개인정보위원장은 “공공기관은 민간기업과 달리 정보 주체의 동의가 아닌 법적 근거에 의해 개인정보를 수집·처리하므로 개인정보 보호에 더욱 엄정한 기준과 조치가 필요하다”며  “공공 부문 개인정보 유출 방지대책을 범부처 합동으로 마련하고 빠른 시일 내 발표할 것”이라고 말했다.

관련기사

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지