공공기관 개인정보보호 강화한다더니…사각지대는 그대로
면허·수능 등 민감정보 시스템은 빠져
잇따르는 개인정보 유출을 막기 위해 민간과 공공기관의 정보보호 인증 의무가 확대되고 있지만, 공공의 사각지대는 그대로 방치된 것으로 나타났다.
전 국민의 운전면허를 관리하는 도로교통공단이나 주택보증 정보를 보유한 주택도시보증공사(HUG) 등 대규모 민감정보를 처리하는 공공기관이 의무 대상에서 제외되면서 선정 기준에 의문이 제기된다.
7일 개인정보보호위원회에 따르면 지난 2일 입법예고한 개인정보 보호법 시행령 개정안에는 일정 규모 이상의 개인정보처리자에 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 내용이 담겼다.
내년 인증 의무화 확대 시행을 앞두고 공공기관과 이동통신, 본인확인기관, 매출 1조원 이상 대규모 민간 처리자 등 기존 의무 인증이 아니었던 곳 중 의무 대상을 명확히 제시하기 위한 조치다. 개인정보위는 이번 조치가 '사전 방지 체계' 전환의 주요 계기가 될 것으로 기대했다.
하지만 공공 의무 대상은 개인정보위가 집중관리하는 공공시스템(58개 기관·387개 시스템) 중 개인정보위가 정한 81개 시스템으로 한정됐다. 향후 단계적 확대를 예고했지만, 도로교통공단이나 교육과정평가원, HUG, 주택금융공사, 우정사업본부, 산업인력공단 등은 기존 387개 명단에도 포함되지 않았다.
개인정보위 측은 "ISMS-P 인증의 긍정적 효과에도 불구하고 해당 인증 취득은 자율에 맡겨져 있어 핵심 인프라에 대한 관리체계의 공백 발생이 우려돼 왔다"고 의무화 필요성을 밝히면서도 "의무화 취지 및 제도 초기 시행 등을 감안해 기관·기업의 부담과 혼선을 최소화할 수 있도록 했다"고 설명했다.
특히 공공의 경우 중요 개인정보처리시스템 목록이 이미 공개돼 있어 수범자 예측이 용이하고, 고시 구체화를 통해 단계적으로 확대하면서 권익침해 소지를 낮추도록 설계했다고 밝혔다.
사실상 의무 인증 기관을 설정하면서 그들이 보유한 개인정보의 민감도나 유출 위험성보다는 기관의 부담과 혼선을 먼저 고려한 셈이다.
현재 공공시스템 지정 근거인 '개인정보의 안전성 확보조치 기준' 고시에는 100만명 이상 정보주체, 취급자 200명 이상, 총사업비 100억원 이상, 민감정보 처리 등을 지정 요건으로 두고 있지만 최종 편입 여부는 개인정보위가 재량으로 판단할 수 있어 오히려 대상 기관의 예측 가능성이 더 떨어진다는 지적도 나온다.
민간에는 매출과 정보주체 수 등 계량 기준을 명확하게 제시한 것과 달리 공공은 시행령에 대응하는 기준 없이 기존 지정 목록과 고시에 의존하도록 했다는 것이다. 전문가들은 공공의 특성을 고려한 명확한 기준이 우선돼야 한다고 제언했다. 공공기관은 정보주체 동의 없이도 법령상 근거로 대규모 개인정보를 처리할 수 있어, 단순 보유 건수만으로는 위험을 가늠하기 어렵다는 것이다.
김도승 전북대 교수(개인정보보호법학회장)는 "공공은 개인정보 건수가 아니라 어떤 업무에 쓰이는지를 봐야 한다"며 "민간에서 발전한 인증제도를 공공에 그대로 얹으면서 공공 특유의 위험도 기준은 세우지 못한 한계가 있다"고 지적했다.
이어 "국가정보원의 보안점검, 개인정보위의 보호수준 평가와 ISMS-P 인증의 점검 항목이 상당 부분 겹치는 것도 문제"라며 "인증 의무화가 실효를 거두려면 공공기관이 이미 받고 있는 평가 제도와 차별화가 먼저 이뤄질 필요가 있다"고 말했다.
김남석 기자 kns@dt.co.kr
Copyright © 디지털타임스. 무단전재 및 재배포 금지.