개인정보 처리 공공분야 의무 강화…유출 신고 대상 확대에 제재도 상향

앞으로 개인정보 처리시스템을 보유 또는 운영 중인 공공분야의 보호 의무가 더욱 강화된다.

개인정보보호위원회는 보호법령 개정 후 1년의 계도기간이 지나 이달 15일부터 주요 개인정보 처리시스템 보유·운영 중인 정부부처와 산하 공공기관은 기존 의무 외에 추가적 안전조치 의무를 준수해야 한다고 12일 밝혔다.

추가 안정 조치 이행 대상은 100만명 이상의 개인정보 또는 개인정보취급자를 200명 넘게 보유하거나 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영 중인 정부부처와 산하기관 63곳이다. 개인정보위는 대다수 주요 공공기관이 이에 해당한다고 설명했다.

이번 조치로 인해 이들은 4대 분야에서 총 10개의 추가적인 안전조치 의무를 지게 된다.

시스템 관리체계 분야에는 협의체 설치·운영, 시스템별 책임자 지정, 시스템별 안전조치 방안 수립 및 시행이 담겼다. 엄격한 접근권한 부여·관리 분야에는 인사정보 자동 연계, 최소한 권한 부여 및 접근권한 현행화, 비공무원 계정발급 절차 도입이, 접속기록 점검 강화 분야에는 접속기록 점검 및 특이사항 탐지, 사전·사후 절차 마련이 포함됐다. 끝으로 전담인력 및 시스템 확충 분야에는 전담인력 확충 및 개인정보보호 교육, 시스템 개인정보 보호기능 확충이 실행과제로 선정됐다.

개인정보위에 따르면 올해 상반기 공공분야 개인정보 유출 신고는 16건에서 52건으로 전년 대비 약 3.8배 증가한 것으로 알려졌다. 이는 지난해 보호법령으로 공공부문의 유출 신고 의무대상을 기존 1000건 이상 유출에서 확대해 민감정보나 외부 불법 접근의 경우에는 1건만 유출돼도 신고하도록 했기 때문이다.

개인정보위는 유출 신고 의무 대상 확대를 통해 법 적용의 사각지대를 최소화하는 한편, 공공기관의 유출 예방 노력을 지속적으로 강화하도록 유도해 나갈 방침이다.

아울러 개인정보위는 경각심을 높이기 위해 제재 수위도 높였다. 안전조치 의무 위반으로 개인정보 유출시 공공부문의 경우 그간 과태료를 부과했지만 과징금 부과 대상으로 변경했다. 과태료는 주로 단순 질서 위반 행위에 대한 제재의 성격을 지니지만 과징금은 징벌적 목적이 더 강하다.

개인정보위는 또 공무원 등이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 단 한 번이라도 바로 파면·해임하는 원스트라이크아웃이 가능하도록 했고 형사처벌도 가능하게 했다.

개인정보위 관계자는 "이달 15일부터 주요 공공시스템 운영기관의 보호법상 안전조치 의무가 강화돼 시행됨에 따라 적용 대상이 되는 공공기관 등의 경우 각별한 주의가 요구된다"라면서 "공공기관에서 유출 사고 발생 시 엄정 조사·처분함으로써 공공부문의 개인정보보호 강화 노력을 적극 유도할 계획"이라고 전했다.

이정윤 기자 leejuyoo@asiae.co.kr