공공 부문 개인정보 유출 방지 대책 보고, 중앙·지방정부 및 공공기관 대상 첫 번째 개인정보 유출 방지대책

최영진 개인정보보호위원회 부위원장이 지난 13일 정부서울청사에서 ‘공공부문 개인정보 유출 방지대책’ 관련해 발표하고 있다 [사진=개인정보보호위원회]
최영진 개인정보보호위원회 부위원장이 지난 13일 정부서울청사에서 ‘공공부문 개인정보 유출 방지대책’ 관련해 발표하고 있다 [사진=개인정보보호위원회]

[디지털투데이 백연식 기자] 앞으로 국민의 개인정보를 고의로 유출하거나 부정 이용한 공무원은 그 피해 정도에 따라 단 한 번의 적발만으로도 파면 혹은 해임된다.

개인정보보호위원회는 14일 한덕수 국무총리 주재로 개최된 제3회 국정현안점검조정 회의에서 ‘공공 부문 개인정보 유출 방지 대책’을 보고하면서 이같이 밝혔다. 이번 대책은 윤석열정부 출범 이후 중앙·지방정부 및 공공기관 대상 첫 번째 개인정보 유출 방지대책이다

최영진 개인정보위 부위원장(차관)은 지난 13일 정부서울청사에서 열린 사전 브리핑에서 “고의로 개인정보를 유출하고, 범죄 피해에 이를 활용하거나, 민감한 내용을 유출해 부정하게 이용하면 공무원을 파면 또는 해임의 중징계 처분을 가능하도록 했다”며 “징계 처리 기준을 마련해 내년에 국가공무원 징계 편람에 반영하기로 했다”고 말했다

이번 대책은 공공 부문 개인정보 유출 근절을 목표로 ▲취급자에 대한 처벌 강화 ▲공공 부문 개인정보 처리시스템 보호 강화 ▲사각지대 없는 보호 관리 체계 구축 ▲공공 부문 개인정보 보호 기반 구축 등을 핵심 내용으로 담고 있다.

사실 이번 대책은 송파 신변보호 가족 살인 등 개인정보 유출로 촉발된 사건이 계기가 됐다. 앞서 이석준은 지난해 12월 경찰의 신변보호 대상자였던 20대 여성의 송파구 자택을 찾아 가족을 살해했다. 당시 수원시 공무원이 흥신소에 시민 개인정보를 팔아넘겨 사건의 빌미를 제공한 것으로 드러나 논란이 됐다.

공공 부문은 국민의 개별적 동의가 아닌, 법령에 따라 다양하고 민감한 개인정보를 처리하고 있으며, 기술 발달에 따라 각종 시스템 연계도 지속적으로 확대되고 있다.

이에 보다 엄정한 개인정보 안전 관리 조치가 필요하지만 위법사항 적발이 어렵고, 낮은 수준의 제재에 따른 개인정보 보호 인식 부족, 개인정보처리시스템에 대한 형식적 접근 권한 관리 등이 문제로 거론돼 왔다.

더불어 시스템 별로 상호 연계되지 않고, 개별적으로 작동함으로써 시스템 운영 권한과 책임의 모호성 및 인력·예산 미흡에 관한 우려도 지속적으로 제기돼 왔다. 이에 따라 비위 정도가 심각한 공무원의 경우 1회 위반에도 파면·해임 징계를 받아 공직에서 퇴출된다.

공무원이 원스트라이크 아웃을 적용받는 기준에 대해 양청삼 개인정보위 조사조정국장은 “고의로 개인정보를 유출하고, 범죄 피해에 이를 활용하거나, 민감한 내용을 유출해 부정하게 이용하면 공무원을 파면 또는 해임의 중징계 처분을 가능하도록 했다”며 “징계 처리 기준을 마련해 내년에 국가공무원 징계 편람에 반영하기로 인사혁신처와 협의를 완료했다”고 설명했다.

개인정보 취급자가 개인정보를 부정 이용할 경우 5년 이하의 징역 또는 5000만 원 이하의 벌금을 부과하는 내용의 처벌 규정을 보호법에 신설하고, 공공 기관 대상 과태료·과징금도 더욱 적극적으로 부과한다.

아울러, 법 위반 단속 강화를 위해 개인정보위 주관으로 집중 관리 개인정보처리시스템 대상 기획 점검을 연내 실시한다.

최 부위원장은 “우리 사회의 디지털화가 급속하게 전개되면서 해킹 시도 등 외부공격 시도가 증가한 게 증가한 주요 요인”이라며 “수원시 개인정보 유출 사건은 공무원이 경제적 이유로 흥신소에 시민들의 개인정보를 팔았다. 내부에서 유출한 사례도 늘어났다. 공무원이 고의로 본인의 이득이나 제3자에게 이득을 제공하기보다는 기술적으로 해킹이 늘어난 것이다. 그래서 상대적으로 공무원 징계 수준이 높지 않았다”고 부연했다 

개인정보 관리 시스템의 안전 조치 의무도 대폭 강화된다. 

개인정보 보유량, 민감성 및 유출 시 파급효과, 취급자수 등을 기준으로 공공 부문 시스템 1만6199개 중 약 10%의 시스템을 집중 관리 시스템으로 선정해 다음과 같은 3단계 안전 조치 의무를 부과한다.

개인정보 보호 법령에 수탁자에 대한 처분 규정을 신설하고, 이용 기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보 처리자로 처분하고 취급자 교육 및 관리‧감독 책임을 강화한다.

지자체의 책임 강화를 위해 표준 개인정보 보호 조례안을 제공하고, 지역별 정책 수립을 위해 시도 개인정보 관계 기관 협의회 설치를 지원한다.

개인정보 보호 법령에 인력 배치 근거를 마련해 집중 관리 시스템 운영 기관에 적정 인력 배치를 권고하고, 각 기관은 3단계 안전 조치 의무를 위한 필수 시스템을 단계적으로 확충한다.
정보화 예산 낙찰 차액을 개인정보 보호 강화에도 활용할 있게 하는 방안을 검토한다.

더불어 개인정보위가 유출에 대한 신속 대응과 함께 수준 진단 및 영향 평가 결과에 대한 개선 권고 등을 하는 등 공공 부문에 대한 점검·관리를 강화한다.

이번 대책과 관련해 개인정보위는 부처 간 정기적인 협의체를 구성하여 대책의 실효성을 확보하고, 정책을 일관적으로 추진할 계획이다.

또한 시스템별 현황과 특성, 개인정보 보호 조치 수준 등에 대한 더욱 상세한 현황 조사를 시행하고 기획 점검도 실시할 계획이다.

민간에도 개인정보 유출 방지 대책을 적용할 계획에 대해 최 부위원장은 “공공부문과 민간의 개인정보 관리 수준을 생각해야 한다. 1500개 공공기관, 3000개 민간기관을 매년 조사한다. 공공부문보다 3000개 민간기관이 좀 더 낫다. 민간에 비해 오히려 떨어져 보호수준이 떨어지는 공공부문의 안전조치 적용이 급선무”라며 “민간과 공공을 아우르는 고도화가 필요하다. 우선 급한 것은 공공부문”이라고 말했다 

양 국장은 “정보보호 대책과 관련해 좀 더 시너지가 좋은 대책을 만들 수 있다. 공공기관 유출 대책을 발표하는 것은 이번이 처음”이라며 “시행·정착시키면서 과학기술정보통신부 등과 협력해 정보보호 종합 대책을 만들 수 있다. 이번에 첫 출발이 의미가 있다. 정보보호 결합한 대책도 연구·검토하겠다”고 전했다.

관련기사

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지