골프존은 75억 부과하고...`개인정보 유출` 공공기관 처벌수위 논란

골프존 과징금 75억 부과...개인정보보호법 개정안 시행 첫 사례
법원, 정부 24 등 공공 유출 민간 넘어서...작년 339만8천건

연합뉴스

개인정보보호법 개정안 강화 이후로 개인정보보호위원회가 정보 유출 처벌 수위를 강화하고 있는 가운데 공공기관에 대한 제제도 동반돼야 한다는 지적이 나온다.

작년 9월부터 개인정보보호법 개정안 시행으로 기업의 개인정보 보호 책임이 강화됐다. 지난 8일 골프존이 개인정보 관리 소홀로 221만명의 정보를 유출, 역대 최대인 75억400만원의 과징금 처분이 내려졌다. 개정안 이후 첫 적용 사례다.

개정 전까지 과징금 상한액이 '위법행위와 관련된 매출액의 3%'에서 '전체 매출액의 3%'로 조정, 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 여부 증명 책임이 기업에게 있어 과징금 부담이 더욱 커졌으며 추후 과징금 규모가 더욱 늘어날 가능성이 존재한다.

민간의 부담은 늘어났으나 공공기관의 처벌 수위는 그대로라는 목소리가 나왔다. 최근 법원 내부 전산망에서 2년간 1000GB 이상의 자료가 유출됐으며 '정부24'에서도 개인정보가 유출돼 행정안전부는관련 조사를 받고 있다. 지난 1월 '워크넷'은 23만여명, 장학재단은 3만2000명의 개인정보를 유출했으나 각각 과태료 840만원과 '개선 권고'를 받았다. 다만 이 두 케이스는 개정안 시행 이전인 작년 6~7월에 발생한 건에 대한 조치로 당시 개인정보위는 "공공기관 개인정보 유출은 제재 수위가 과태료에서 과징금으로 강화된 만큼 각별한 주의를 기울여달라"고 당부한 바 있다.

더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면 신고된 개인정보 유출건수는 2019년 5만2000건에서 작년 8월 기준 339만8000건으로 급증했다. 반면 민간 기업의 경우 1398만9000건에서 261만7000건으로 감소했다. 지난해 처음으로 공공기관이 민간의 유출건수를 넘어섰다.

공공기관 유출이 민간의 유출을 넘어섰으나 작년 8월까지 공공기관당 평균 과징금과 과태료는 700만원으로 민간기업의 7%에 불과했다. 매출액이 없거나 매출액 산정이 어려운 공공기관의 과징금은 최대 20억원이기 때문이다.

공공기관의 개인정보보호책임자(CPO) 전문성도 민간에 비해 부족하다는 지적도 있다. 개인정보보호법에 따르면 대형병원, 기업, 대학 등은 전문성과 독립성을 갖춘 CPO를 의무적으로 지정애햐 한다. CPO는 개인정보보호 경력 2년 이상, 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하며 상근해야 한다.

반면, 공공기관 CPO는 경력이 무관해도 급수만 충족될 시 누구나 맡을 수 있다. 지난달 개인정보 1200여건을 유출한 '정부24'등 행안부의 CPO도 관련 분야와 무관한 인물로 알려졌다. 김영욱기자 wook95@dt.co.kr