[단독] 관공서에서 유출된 개인정보 '500만 명분'... 해킹에 뚫리고, 불법 조회로 흘려

개인정보보호위원회, 3년간 70건 발생
'업무 과실' 탓이 41건
신분 이용해 일부러 유출하기도

게티이미지뱅크

공공기관·지방자치단체에서 유출된 개인정보가 최근 3년간 500만 명분에 달하는 것으로 나타났다. 해킹에 의한 대규모 개인정보 유출 사고부터 공무원 신분을 이용해 개인정보를 불법 조회·유출하는 사례까지 빈번하지만, 기관에 대한 제재는 미미하다는 지적이 나온다.

11일 신장식 조국혁신당 의원실이 개인정보보호위원회(개보위)로부터 제출받은 자료에 따르면, 공공기관·지자체에서 개인정보를 유출한 사고는 총 70건, 499만4,012명분으로 집계됐다. 70건 가운데 특히 '업무 과실'에 의한 유출이 41건으로 가장 많았다. 해킹 17건, 프로그램 오류 11건, 기타 1건이 뒤를 이었다. 연도별로 보면 △2022년 2만7,510명(12개 기관) △2023년 469만658명(50개 기관) △2024년(1~7월) 27만5,844명(8개 기관)의 개인정보가 샜다. 최종 조사 후 처분까지 내린 수치로, 현재 조사가 진행 중인 사건을 포함하면 유출 규모는 더 클 것으로 추정된다. 지난해엔 경기도교육청(2023년 2월 발생, 296만6,485명분 유출)과 서울대병원(2021년 발생, 67만5,353명분 유출) 사건 처분이 완료돼 피해 규모가 껑충 뛰었다.

공공기관·지자체를 통해 개인정보가 유출됐다는 피해 신고는 2020년 11건, 2021년 22건, 2022년 23건, 2023년 41건으로 증가했다. 특히 지난해 9월 15일 개인정보보호법이 개정되면서 유출신고 대상이 '1,000건 이상'에서 '고유식별번호(주민등록번호 등), 불법접근(해킹)에 의한 경우 1건 이상'으로 확대돼, 올해(1~7월)는 67건으로 급증했다. 대량의 개인정보를 보유한 공공기관은 보다 철저한 보안이 요구되지만 대법원 해킹 사태, 정부24 시스템 오류 등 정보유출 사고가 잇따르고 있다. 당국의 제재도 솜방망이다.

개인정보가 유출되면 개인정보보호법에 따라 시정조치나 과징금을 부과하는데, 공공기관은 민간기업처럼 매출액을 산정하기 힘든 탓에 과징금이 미미하다. 실제로 공공기관당 평균 과징금은 2,342만 원으로, 민간기업(17억6,321만 원)의 1.3%에 불과하다.

'밀양 여중생 성폭행 사건'의 가해자 신상을 무단으로 폭로한 유튜버 전투토끼. 유튜브 채널 화면 캡처

내부자 실수나 해킹 이외에 개인정보를 쉽게 조회할 수 있는 공무원 신분을 이용·유출하는 사례도 드러나고 있다. 최근 유튜버 '전투토끼'가 밀양 여중생 성폭행 사건의 가해자 신상을 유튜브에 무단으로 공개했는데, 공무원인 그의 아내가 가해자 개인정보를 불법 조회해 제공한 것으로 밝혀져 지난달 30일 재판에 넘겨진 바 있다. 황석진 동국대 국제정보보호대학원 교수는 "해킹 기술이 고도화해 관공서도 개인정보를 관리하는 책임자를 따로 둬 엄격하게 통제할 필요가 있다"며 "개인정보는 한번 유출되면 돌이킬 수 없는 만큼, 기관의 형사적 책임, 징벌적 손해 배상의 책임 등도 강화해야 한다"고 말했다. 신장식 의원 역시 "개인정보 유출 피해가 날로 증가하고, 수법도 다양화되는 만큼 공공기관·지자체도 이에 맞춰 개인정보보호를 위한 시스템을 강화해야 한다"고 말했다.

권정현 기자 hhhy@hankookilbo.com