경기교육청 등 개인정보보호법 위반한 14개 공공기관 '제재'

고학수 개인정보보호위원회 위원장이 지난 26일 오후 정부서울청사에서 열린 제13회 개인정보보호위원회 전체회의에서 발언하고 있다. 연합뉴스

 

전국연합학력평가 성적정보가 유출됐던 경기도교육청이 개인정보보호 법규 위반에 따라 2천160만원의 과태료 처분을 받았다.

개인정보보호위원회는 지난 26일 전체회의를 열고, 개인정보 처리시스템 등의 안전조치를 소홀히 한 전국 14개 공공기관에 대해 제재 처분을 의결했다고 27일 밝혔다.

이번 개보위 조사에서 경기도교육청의 경우 자체 개발한 온라인시스템의 접근 통제를 제대로 하지 않고, 안전한 인증수단 없이 시스템을 운영했으며, 최신 보안패치를 적용하지 않는 등의 위반 내용이 발견됐다.

올해 초 해킹으로 약 27만여명의 전국연합학력평가 응시학생의 성적정보가 유출됐던 가운데, 도교육청은 보유기간이 지난 성적정보를 파기하지 않는 등 전반적인 관리 부실이 확인됐다고 개보위는 전했다.

이러한 위반 행위는 현행 개인정보보호법상 과태료 처분에 그치지만, 오는 9월15일부터는 개정법이 시행됨에 따라 더 큰 제재를 부과받을 수 있다.

개인정보보호위원회 제공

또 개보위는 주민등록번호 암호화 등 안전성 확보조치가 되지 않은 채 유출된 여타 13개 기관에 대해서도 과징금, 과태료 부과 등의 처분을 의결했다.

지자체에서는 ▲경기도 남양주시 ▲경기도 시흥시 ▲서울특별시 ▲대전광역시 ▲부산광역시 사상구 ▲경상북도 경산시 등이, 기관에서는 ▲대한적십자사 ▲한국산업안전보건공단 ▲국세청 ▲한국장애인고용공단 등이 포함됐다.

주요 사례를 보면 지역 내 요양기관 종사자 및 입소자의 명단이 전자우편에 오발송돼 6천568건의 주민번호가 유출(남양주시, 과징금 1천625만원·과태료 600만원) 되거나, 코로나19 4차 예방접종 대상자 1천206건 명단이 이메일에 오첨부(시흥시, 과징금 1천250만원)된 식이다.

개인정보보호위원회 관계자는 “공공기관의 경우 다량의 개인정보를 처리하는 만큼 기술적·관리적 보호조치 상의 작은 과실로도 심각한 피해가 이어질 가능성이 커 담당자들의 세심한 주의가 필요하다”면서 “개보위는 ‘공공부문 집중관리시스템 개인정보 안전조치 강화계획’을 통해 국민의 개인정보 등을 지켜나갈 것”이라고 전했다.

한편 개보위는 환자 정보를 유출한 17개 종합병원에도 과태료 6천480만원과 개선 권고 등을 결정했다. 조사 결과 지난 2018년 4월부터 2020년 1월까지 전국 환자 총 18만5271명의 정보가 유출된 것으로 나타났다.

성모병원, 건국대 충주 병원, 고려대 병원 등이 과태료 및 개선 권고 처분을 받았다.

이연우 기자 27yw@kyeonggi.com