[개인정보 스토커] ② 잇따른 공공부문 개인정보 유출 '솜망방이'..왜? [데이터링]

박진영 입력 2022. 10. 4. 16:31
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

위법행위 '솜방망이식' 처벌..지자체 등 개인정보 관리체계 허술

[아이뉴스24 박진영 기자] 'n번방 사태, 수원시 유출사건, 신당역 사건...'

공공기관 개인정보 유출 문제는 어제오늘의 일이 아니다. 특히 공공기관은 주민번호, 거주지 등 민감정보를 관리하고 있는 만큼 유출 시 심각한 범행에 악용되는 등 2차 피해가 발생할 수 있다. 최근 신당역 사건으로 공공기관의 허술한 개인정보 보호 관리 체계가 도마 위에 오른 가운데 여전히 공공부문서 개인정보 유출 사태가 잇따르고 있다.

최근 신당역 사건으로 공공기관의 허술한 개인정보 보호 관리 체계가 도마 위에 올랐다. 사진은 개인정보 유출 관련 이미지 [사진=픽사베이]

◆공공부문 개인정보 유출↑…위법행위 '솜방망이식' 처벌

공공부문의 개인정보 유출 원인으로 유출자에 대한 불충분한 제재가 꼽힌다. 낮은 처벌 수위로 인해 개인정보 보호에 대한 경각심이나 보호 의식이 부족하다는 것이다.

특히, 공공부문은 국민의 개별적 동의가 아닌 법령에 따라 일괄 처리함에 따라 더욱 엄정한 보호조치가 요구되나, 개인정보 유출은 날이 갈수록 증가하는 추세다. 개인정보보호위원회에 따르면, 공공부문에서 유출된 개인정보(신고건수 기준)는 지난 2017년 2개 기관 3만6천건에서 지난해 22개기관, 21만 3천건으로 대폭 늘었다.

다만, 개인정보 유출규모에 비해 중징계가 줄어드는 등 징계는 약화되는 추세다. 개인정보위에 따르면, 2017~2020년 공공부문 개인정보 유출로 징계받은 건수는 총 205건, 이 중 경징계 186건이고, 중징계는 19건에 불과했다. 이 가운데 해임·파면과 같은 징계는 10건이었다.

지난해 9월 정부법안 발의에 따른 개인정보보호법에서 공무원이 개인정보 유출 시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다고 규정하고 있지만, 실제 처벌은 솜방망이 수준인 것이다. 개인정보 침해에 대한 시정 권고 업무를 담당하는 개인정보위가 징계를 권고할 수는 있지만, 현행 법상 실제 기관 내 징계나 형사처벌에 대한 법적 근거가 없다는 설명이다.

또 정당한 권한을 가진 자의 고의 유출의 경우에는 적발이 어려워 사고가 지속 발생할 수 있다. 송파 살인 사건의 경우에도 다른 범죄(살인) 수사 과정에서 수원시(권선구) 공무원의 개인정보 유출 사실이 드러났다.

개인정보 관리감독 책임이 있는 지자체 등 공공기관에 대한 처분도 강화해야 한다는 지적이 나온다.

지자체 공무원이 국민의 주소 정보를 팔아 넘겨 살인사건으로까지 이어진 수원시 유출 사고와 관련, 수원시청에 대한 과태료는 360만원에 불과했다. 수원시는 권선구 공무원의 개인정보보호 교육 이수 관리를 소홀히 하고 공무원에게 부여된 사용자 권한을 소관 업무 용도로만 사용하는지 여부를 점검하지 않는 등 개인정보취급자에 대한 관리·감독 의무를 위반했다.

이에 개인정보위는 개인정보보호법 범위 내에서 과태료를 산정했다고 설명했다. 개인정보보호 법률과 시행령에 따른 개인정보 보호 위반 과태료 상한액은 3천만원이지만, 처음 위반할 경우에는 600만원이다. 여기에 과태료 처분 전 의견 제출 기간까지 위반 사항을 시정한 것 등을 고려해 수원시청의 과태료가 360만원으로 낮아졌다는 설명이다.

◆지자체·공공기관별 개인정보 관리체계 '허술'

일부 지자체에서는 공공 업무에 필요하지 않은 개인정보에 접근할 수 있는 상위의 권한의 부여됐다. 이용기관의 접속기록을 조회·점검할 수 없는 경우도 허다했다.

개인정보위의 수원시 실태 점검 결과(2022년 1월~5월), 수원시 권선구는 행정편의를 위해 관행적으로 본래 목적 외 용도 및 업무상 필요 범위 이상으로 개인정보처리시스템에 대한 접근권한을 부여한 것으로 드러났다. 수원시는 건설기계조종사면허 발급 업무 처리를 위해 수원시 공무원에 조종 면허 대상이 아니어도 다수 국민의 성명, 주민번호, 주소를 조회할 수 있는 권한을 주었다.

또 인력·전문성 부족 등으로 방대한 접속기록을 실질적으로 점검하는 데 한계가 있다. 개인정보위에 따르면, 수기 점검만 가능한 시스템이 약 15%로, 평균 접속기록 용량은 매월 25.4GB가 발생하나 1~2명의 담당자가 수기로 점검하고 있는 상황. 더욱이 접속기록 관리 시스템을 미도입한 기관이 많고, 도입한 경우에도 비정상적 접근 시도 탐지·차단 등에 대한 기술이 부족해 실질적 점검이 미흡하다는 지적이다.

'2021 개인정보보호실태조사'는 개인정보 보호담당자(CPO)를 제외한 전담 인원이 공공기관은 평균 0.5명인데, 이들 업무경력도 짧아 전문성을 확보하기 어렵다고 지적하기도 했다.

입법조사처는 "개인정보처리시스템의 접속기록은 유출사고 예방과 사고 발생 시 사고 원인을 규명하는 데 도움이 된다"면서, "공무원의 개인정보 접근에 대한 점검을 법률로 상향 규정해 법적 안정성을 제고할 필요가 있다"고 강조했다.

또 개인정보위가 실시한 지난해 개인정보 관리수준 진단 결과 총 795개 기관의 평균점수는 87.4점으로 집계됐다. 2020년 대비 3.1점 상승했지만 중앙행정기관·광역자치단체 대비 기초지자체는 상대적으로 부진한 성적표를 받았다. 452개 공공기관이 90점 이상으로 양호했다. 중앙기관의 74%, 광역지자체의 71%가 양호 등급을 받았지만 기초지자체는 47%에 불과했다.

보호대책과 관리체계는 각각 93점, 90점으로 집계돼 양호했지만 침해대책은 82점으로 다소 미흡했다. 특히 침해대책 분야 중 개인정보 유출사고의 주요 원인이 되는 '개인정보처리시스템의 접근권한 관리 및 접속기록 점검'이 71점으로 조사돼 가장 미흡했다.

더욱이 감사원이 공개한 '개인정보보호 추진실태' 보고서에 따르면 일부 지자체에서는 개인정보위의 의결 내용을 준수하지 않고 관행적으로 개인정보를 처리하고 있는 것으로 드러났다. 감사원은 이 같은 실태를 개인정보위가 제대로 파악하지 않고 있다는 점도 지적했다.

입법조사처는 "다른 지자체가 개인정보위에 심의·의결을 신청해 허용된 사안에 대해 동일하게 준용할 수 있음에도 의결내용과 다르게 적용하는 지자체가 있는데, 의결내용의 활용도를 높이는 방안 등을 고려할 필요가 있다"고 밝혔다.

/박진영 기자(sunlight@inews24.com)

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?