공공기관 페널티 늘린다더니…개인정보 유출해도 ‘개선권고’ 뿐

최근 대규모 개인정보 유출 사고가 잇따르자 정부가 유출이 발생한 공공기관에 대해 페널티를 강화하겠다고 밝혔다. 하지만 페널티가 추가 벌점 뿐이고, 벌점이 높은 기관에 대한 조치도 '개선 권고' 수준에 그쳐 실효성이 떨어진다는 지적이 일각에서 나온다.

14일 개인정보보호위원회는 '2026년 공공기관 개인정보 보호수준 평가 추진 계획'을 통해 개인정보 유출 사고를 낸 기관에 대한 페널티를 대폭 확대한다고 밝혔다.

사고 발생 시 적용되는 감점 최대치를 기존 10점에서 20점으로 두 배 올리고, 사후 대응이 부실하면 추가 감점을 부여하는 것이 골자다.

하지만 일각에선 이 같은 개편의 실효성이 미미하다는 지적이 나온다. 평가 결과가 '공공기관 경영실적 평가'나 '지자체 합동평가'에 반영되지만, 지난해 기준 해당 평가에서 정보보호가 차지하는 배점은 0.5점 수준에 불과하다.

최근 정보보호의 중요성이 강조되며 올해 배점이 소폭 커졌지만, 개인정보위가 자체 평가에서 20점 넘게 점수를 깎더라도 전체 경영평가로 환산하면 점수 변동이 미미하다. 대규모 유출 사고를 내더라도 기관장이나 임직원 성과급에 큰 영향을 미치기 어려운 구조다.

현행 개인정보보호법상 개인정보위가 평가 점수가 낮은 기관에 취할 수 있는 최대 조치도 '개선 권고'에 그쳐 실질적인 시정명령이나 강제 조치를 내릴 수 없는 상황이다. 유출 사고가 발생하더라도 책임자에 대한 직접적인 징계조차 강제할 수 없다는 비판도 나온다.

공공기관 역시 유출 사고가 발생했을 때 전체 매출액의 최대 10%까지 부과할 수 있는 '징벌적 과징금'의 대상이지만, 세금으로 운영되는 공공기관 특성상 민간 기업에 비해 과징금에 대한 경각심도 높지 않다.

전문가들은 개인정보위의 이번 조치가 기관장들의 주의를 환기하는 최소한의 효과는 있겠지만, 본질적인 한계를 해소하기 위해서는 근본적인 평가 체계를 수정해야 한다고 지적했다.

현재의 평가가 실질적 위험 대응 능력이나 데이터 민감도를 입체적으로 따지지 않고 단순 의무 이행 여부를 체크하는 수준에 머물러 있다는 것이다. 또 현재의 벌점 체계가 '위험 기반 접근'이라는 현대 개인정보 규제의 흐름을 역행하고 있다는 비판도 나온다.

김도승 전북대 교수(개인정보보호법학회장)는 "사고가 터진 후 페널티를 주는 사후적 제재만으로는 사전 예방적 보호 체계로 체질을 개선하는 데에도 한계가 있다"며 "개인정보위의 일괄적인 페널티 부과 방식은 결국 보여주기식 '문서 업무'로 전락할 수 있다"고 짚었다.

이어 "현재의 평가는 수백만명의 민감 정보를 다루는 기관과 위험도가 낮은 기관의 차이를 무시한 채 오직 사고가 터졌는지 결과만 묻는 일률적 제재에 머물러 있다"며 "벌점 폭탄이 아닌 사고 발생 이전 단계에서의 책임성과 통제 구조를 제도화하는 방향으로 공공기관 평가 체계가 근본적으로 바뀌어야 한다"고 강조했다.

김남석 기자 kns@dt.co.kr

미리캔버스가 그린 일러스트.