공공기관 개인정보 유출 2023년 339만건… 5년 새 65배 폭증

구윤모 2024. 5. 13. 19:20
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
정부24 이어 법원 해킹사태 논란
대법, 정보관리자 규정 위반 조사
민간기업은 사고 때 과태료 엄벌
‘골프존’ 75억… 공공기관은 700만원
“노후한 장비·시스템 전면 강화
정보보호최고책임자 도입 시급”

지난 5년간 공공기관의 개인정보 유출 건수가 65배 넘게 폭증한 것으로 나타났다. 최근 법원과 정부24에서 개인정보 유출이 잇따라 발생한 가운데 공적 책임을 강화해야 한다는 목소리가 커지고 있다.

13일 더불어민주당 윤영덕 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 공공기관 개인정보 유출 신고 건수는 2019년 5만2000건, 2020년 7만4000건, 2021년 21만3000건, 2022년 64만8000건을 거쳐 지난해 8월 기준 339만8000건으로 폭증했다. 같은 기간 유출 기관 수도 8개에서 23개로 늘었다.

반면 민간기업 개인정보 유출 신고 건수는 같은 기간 1398만9000건에서 261만7000건으로 크게 감소했다. 2022년까지만 해도 큰 차이를 보이던 공공기관과 민간기업의 개인정보 유출 신고 건수가 지난해 처음 역전된 것이다.

사진=게티이미지뱅크

사진=게티이미지뱅크
실제로 최근 공공기관의 개인정보 유출 사례가 심각한 문제로 떠올랐다. 북한 해커조직 ‘라자루스’가 국내 법원 전산망에 침입해 2021년 6월부터 지난해 1월까지 A4용지 26억장에 달하는 1000GB(기가바이트) 분량의 자료를 빼돌린 정황이 드러났다.

개인정보위는 법원 개인정보 유출 사태와 관련해 안전 조치 마련과 신고 절차의 적법성 등에 대한 조사에 착수했다. 대법원은 처음 사고가 발생한 지 2년 6개월이 지나서야 개인정보위에 이를 알리면서 늑장 대응 논란에 휩싸였다. 이와 관련해 대법원 윤리감사관실은 정보관리 담당자 등을 상대로 보안규정 위반 여부를 들여다보고 있다.

개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다. 개인정보위 관계자는 “이번 사태와 관련해 법원의 잘못이 있는지를 살펴볼 것”이라며 “조사 중인 사항이라 답변할 수 있는 내용은 없다”고 말했다.

온라인 민원서비스 플랫폼인 정부24에서도 지난달 타인의 개인정보가 포함된 민원서류가 발급되는 오류가 1233건 발생했다. 교육민원 서비스 646건, 납세증명서 587건이 잘못 발급되면서 타인의 이름, 주민등록번호 등 개인정보가 고스란히 유출됐다.

일각에서는 개인정보 유출에 대한 공공기관의 책임이 민간기업에 비해 지나치게 가볍다고 지적한다. 윤 의원이 확보한 자료에 따르면 2022년부터 지난해 8월까지 개인정보 유출 위반처분 건수는 민간기업 142건, 공공기관은 43건이었으며 과징금·과태료는 각각 148억원, 3억원이었다. 공공기관당 평균 과징금·과태료는 700만원으로, 민간기업(1억원)의 7% 수준에 불과했다.

정부는 개인정보 보호의 중요성이 커지면서 민간기업에 대한 처벌 수준을 강화해왔다. 지난해 9월 개인정보보호법 개정안이 적용됨에 따라 과징금 상한액이 ‘위법행위와 관련된 매출액의 3%’에서 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 개인정보위는 221만여명의 이름과 전화번호 등을 유출한 ‘골프존’에 이 같은 기준을 적용해 이달 8일 75억400만원의 과징금을 부과했다. 역대 국내기업 최대 과징금액이다. 반면 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원에 불과하다.

윤 의원은 “민간기업보다 개인정보 보호에 더 강한 책임감을 가져야 할 공공기관에서 매년 대량 유출사고가 급증하는 것은 상식밖의 일”이라며 “공공 영역에서 개인정보 담당자들에 대한 교육 강화와 함께 유출 사고 시 더 강력한 제재방안을 통해 공공기관의 정보 유출을 방지해야 한다”고 강조했다.

민간기업에 비해 상대적으로 노후한 공공기관 장비와 네트워크 시스템을 강화하고, 정보보호를 위한 책임자를 의무적으로 도입해야 한다는 지적이 나온다. 황석진 동국대 국제정보보호대학원 교수는 “민간기업은 개인정보를 유출하면 평판에 타격을 입고 매출에도 악영향을 받게 되지만, 공공기업은 그런 위험에서 상대적으로 자유롭다”며 “사고가 발생했을 때도 공공기관에 형사적 책임을 묻거나 과징금을 부과하는 데 한계가 있다”고 지적했다.

황 교수는 “더 늦기 전에 예산을 늘려 공공기관의 노후 장비를 교체하고, 외부 해킹에 대비해 방어벽을 강화하는 등 조치가 필요하다”며 “또 공공기관에서 정보보호 최고책임자(CISO)를 별도로 둔다면 개인정보 보호에 대한 책임감을 더 가지게 될 것”이라고 강조했다.

구윤모·이종민 기자

Copyright © 세계일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
세계일보에서 직접 확인하세요. 해당 언론사로 이동합니다.