개인정보 털리는 공공기관 ‘공개망신’...감점 최대치도 2배로 늘린다

정보유출 사고땐 감점 10점→20점
대응 미흡땐 추가 감점, 사후 책임 강화
평가 미흡 기관 명단 공개해 경각심 제고

송경희 개인정보보호위원장이 지난 8일 정부서울청사에서 개최된 2026년 제6회 전체회의에서 의사봉을 두드리고 있다. <사진=개인정보보호위원회>

정부가 개인정보 유출 사고를 일으킨 공공기관에 대해 관련 평가에서 부여하는 감점 최대치를 기존보다 2배로 확대한다. 이는 공공 부문의 잇따른 보안 사고에 엄중히 대응하고, 기관의 책임성을 강화하기 위한 조치다.

개인정보보호위원회는 지난 8일 전체회의를 열고 이 같은 내용을 담은 ‘2026년 공공기관 개인정보 보호수준 평가 추진계획’을 확정했다고 13일 밝혔다.

개인정보 보호수준 평가는 ‘개인정보 보호법’ 제11조의 2에 따라 공공기관이 법적 의무사항을 제대로 이행하는지 여부 등 개인정보 보호를 위한 기관의 전반적인 노력을 평가하는 제도다. 공공기관의 개인정보 관리체계 내실화와 보호 역량 향상을 목표로 지난 2024년부터 시행하고 있다.

올해 확정된 계획에 따르면 개인정보 유출 사고 발생 시 적용되는 감점 한도가 기존 10점에서 20점으로 대폭 상향된다. 특히 사고 발생 자체에 대한 책임뿐만 아니라, 사고 이후 수습 과정에서 대응 조치가 미흡하다고 판단될 경우 최대 5점 감점을 추가로 부과하는 등 사후 관리 책임까지 묻기로 했다.

평가 지표는 실질적인 예방 활동에 초점을 맞춰 개편된다.

해킹 등 외부 공격에 대비한 모의해킹 수행과 보안 취약점 점검 실적을 평가하는 지표(개인정보 유출 등 사고 예방과 대응 노력)가 새롭게 도입된다. 또한 내부 직원에 의한 데이터 유출과 오남용을 막기 위해 올해의 집중 점검 테마를 ‘내부자 보안’으로 선정했다. 기관장의 관심도와 보호 노력에 대한 배점을 높여 조직 차원의 능동적인 대응 체계 구축도 독려한다.

평가 투명성과 변별력을 높이기 위한 장치도 마련됐다.

자체평가를 수행하는 소속기관과 교육지원청에 대해 ‘보통’(90점 이상), ‘일부 미흡’(80~90점), ‘미흡’(80점 미만)의 3등급 체계를 적용하고, ‘미흡’ 등급을 받은 기관에 대해선 명단을 대외적으로 공개해 경각심을 높인다. 또 ‘일부 미흡’과 ‘미흡’ 기관에게는 보완 조치서를 제출받을 예정이다. 이들 기관의 평가 과정 역시 전문가가 참여하는 심층평가(정성지표) 비중을 50%로 확대하고, 평가 시스템 선정 기준 미준수 시 감점을 줘 실질적인 보호 수준을 검증한다.

한편 이번 평가는 중앙행정기관과 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도 교육청 학교·특수법인 등 총 1464개 기관을 대상으로 진행된다. 오는 9월부터 본격적인 서면 검증과 현장 점검을 실시하며, 최종 결과는 전문가 평가단의 검증을 거쳐 내년 4월 공개될 예정이다.

이와 관련해 개인정보위는 오는 6월부터 9월까지 권역별 설명회를 개최하고, 평가 편람을 온·오프라인으로 배포한다. 특히 평가 결과가 미흡하거나 현장 자문(컨설팅)을 희망하는 기관을 대상으로 1대1 맞춤형 현장 컨설팅을 제공할 계획이다. 아울러 평가 담당자들이 업무에 참고할 수 있도록 우수사례집도 배포한다.

양청삼 개인정보위 사무처장은 “최근 공공기관에서도 유출사고가 잇따르는 만큼 공공 부문의 안전 관리체계가 강화돼야 한다”면서 “평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 컨설팅 등 체계적인 지원을 통해 공공 부문 전체의 안전관리 수준을 높여 나갈 것”이라고 강조했다.