매서워지는 개인정보 보호 규제…공공기관은 '순한 맛'?(종합)

법원·정부24 등 공공기관 정보 유출 잇따르는데…과징금은 민간기업의 7%
"공공기관 처벌 수위 강화하고, 개인정보책임자 전문성 높여야"
개인정보위 "향후 공공 부문에 강화된 안전조치 의무 부여할 것"

초유의 사법부 해킹…허술한 시스템에 '늑장 대응' 비판도 (서울=연합뉴스) 윤동진 기자 = 법원 내부 전산망에서 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐다는 합동 수사 결과로 대법원의 허술한 보안 시스템이 여실히 드러났다. 사상 초유의 사법부 전산망 해킹으로 국민의 내밀한 소송서류가 유출됐지만 대법원의 부실한 대응으로 유출 자료의 0.5%밖에 피해 내역을 확인하지 못하게 된 상황에 일조했다는 비판이 제기된다. 사진은 12일 오후 서울 서초구 서울중앙지법의 모습. 2024.5.12 mon@yna.co.kr

(서울=연합뉴스) 이상서 기자 = 75억400만원.

지난 8일 개인정보보호위원회가 관리 소홀로 221만여명의 이름과 전화번호 등을 유출한 '골프존'에 물린 과징금 액수다.

지난해 LG유플러스에 부과된 68억원을 뛰어넘는 역대 국내기업 최대 과징금이다.

기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월 시행된 개인정보보호법 개정안이 처음으로 적용됐기 때문이다.

이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 했지만, 개정된 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈이다.

개인정보 유출에 대한 정부 제재가 매서워진 만큼 향후 이를 넘어서는 과징금이 부과될 가능성도 충분하다.

13일 정보보호학계와 관련 업계에서는 이처럼 민간기업에 대한 처벌 수위는 강화되고 있지만, 공공기관에 대한 제재는 여전히 무디다는 지적이 나오고 있다.

최근 법원 내부 전산망에서 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐고, 전 국민을 대상으로 서비스하는 '정부24'에서도 개인정보가 유출되는 등 관련 사고가 잇따르지만, 지워지는 책임의 무게는 국민 눈높이에 맞지 않다는 것이다.

고학수 위원장, 개인정보위 전체회의 주재 (서울=연합뉴스) 최재구 기자 = 고학수 개인정보보호위원회 위원장이 8일 종로구 정부서울청사에서 열린 개인정보보호위원회를 주재하고 있다. 2024.5.8 jjaeck9@yna.co.kr

더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천건에서 지난해 8월 기준 339만8천건으로 크게 늘었다.

같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다.

공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다.

하지만 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업(1억원)의 7%에 불과했다.

매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원으로 못 박았기 때문이다.

[그래픽] 개인정보 유출 건수 추이 (서울=연합뉴스) 원형민 기자 = 13일 더불어민주당 윤영덕 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천건에서 지난해 8월 기준 339만8천건으로 크게 늘었다. 같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다. circlemin@yna.co.kr 페이스북 tuney.kr/LeYN1 X(트위터) @yonhap_graphics

공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 민간기업에 비해 턱없이 떨어진다는 지적도 있다.

개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다.

이곳에서 일하는 CPO는 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하고, 상근해야 한다.

이와 달리 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다.

지난달 1천200여건의 개인정보가 유출된 '정부24'를 포함해 행정안전부의 개인정보를 담당하는 CPO도 관련 분야와 사실상 무관한 경력을 갖춘 인물로 알려졌다.

이 관계자는 "지난해 10월 정책기획관이 되면서 CPO를 자동으로 맡게 됐다"며 "다른 부처들도 CPO를 당연직으로 임명하고 있다"고 말했다.

과거에 개인정보를 유출해 개인정보위로부터 과징금을 부과받은 한 기업의 고위 관계자는 "민간 기업은 개인정보 중요성이 커지는 것을 인식하고 다양한 투자를 하고 있다"며 "전 국민을 상대로 하는 공공기관도 과감한 투자를 벌이고, 인식을 개선할 필요가 있다"고 지적했다.

김승주 고려대 정보보호대학원 교수는 "개인정보 유출 사고가 벌어질 때 공공기관은 담당자에 대한 처벌이나 사과하는 모습을 보기 힘들다"며 "이는 결국 개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'를 둘 의무가 공공기관에 없기 때문"이라고 말했다.

정보통신망법에 따르면 일정 규모 이상의 정보통신서비스 업체는 사업주나 대표자 등을 CISO로 지정해야 한다.

2021년 1월 민주당 이해식 의원이 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법' 개정안을 발의했으나, 국회에 계류 중이다.

이에 개인정보위는 이날 설명자료를 내고 "공공부문의 개인정보 보호 강화 대책을 세우고, 공공기관 개인정보 관리 수준 평가를 강화하는 등 다양한 대책을 추진하고 있다"며 "위법행위를 한 공공기관과 공무원에 대한 처벌도 강화했다"고 밝혔다.

그러면서 "향후 대규모 민감정보를 처리하는 공공부문에 더욱 강화된 안전조치 의무를 부여할 계획"이라며 "중장기적으로는 기관별 개인정보 전담 인력을 배치하도록 권고하고, 시스템 기능 개선도 단계적으로 추진하겠다"고 강조했다.

shlamazel@yna.co.kr

▶제보는 카톡 okjebo