정부가 공공기관의 개인정보보호 수준을 더 강화한다. 제재 수위를 올리고 시스템 안전조치 또한 상향을 권고했다. 늘어나고 있는 공공기관 개인정보 유출 사고에 경각심을 줄 것이라는 분석이 나온다.
12일 개인정보보호위원회(개인정보위)는 오는 15일부터 주요 개인정보 처리시스템을 보유·운영 중인 정부 부처와 산하 공공기관은 기존 안전조치 의무 외에 추가적인 안전조치 의무를 준수해야 한다고 밝혔다. 이는 지난해 개인정보보호법 개정 후 1년의 계도기간이 지남에 따른 조치다.
대상은 일정 규모 이상 개인정보(100만명) 또는 개인정보취급자(200명)를 보유하고 있거나 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영 중인 정부 부처와 산하기관 63곳이다. 대다수 주요 공공기관이 해당된다.
이들 기관은 기관별 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 두어야 한다. 또한, 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 해야 한다. 시스템 접속기록에 대한 주기적 점검(특이사항 탐지 포함) 및 개인정보보호 전담인력 확충 등 4대 분야 총 10개의 추가적 안전조치 의무도 지게 된다. 이를 위반할 경우 과태료가 부과되며, 개인정보 유출시 과징금도 부과된다.
공공기관의 개인정보 유출 사각지대를 최소화하는 노력도 있다. 공공부문 유출신고 의무 대상은 기존 1000건 이상 유출된 경우에 한정됐으나, 민감정보나 외부 불법 접근의 경우에는 1건만 유출돼도 신고하도록 했다. 이로 인해 올해 상반기 유출신고가 62건으로 지난해 16건에 비교해 약 3.8배 늘었다.
제재도 상향된다. 안전조치 의무 위반으로 개인정보 유출 시 그간 과태료가 부과됐으나 법이 개정되며 과징금 부과 대상으로 바뀌었다. 공무원 등이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 바로 파면과 해임이 가능하도록 했다. 5년 이하 징역 또는 5000만원 이하의 형사처벌도 이뤄질 수 있다.
개인정보위는 같은 날 부동산·지방세 등 전국 공통 사용분야 민원시스템 총 35개와 해당 시스템 운영기관에 대한 안전조치 강화를 개선 권고했다고 밝혔다. 이는 기관 운영 실태점검 결과를 반영한 조치다.
개인정보위는 지난해부터 오는 2025년까지 3년간 집중관리시스템 운영기관을 대상으로 이행실태를 집중 점검하고 있다. 실태점검 2년차를 맞아 로 집중관리시스템 개인정보안전조치 강화 계획상의 4대 분야 10대 이행과제를 점검했다. 구체적으로는 △협의회 설치·운영, △시스템별 책임자 지정 및 △안전조치 방안 수립, △권한 없는 자의 접근 방지 위한 인사정보 연계(비공무원 관리 포함), △접속기록 점검 강화, △전담인력·시스템 확충 계획 등에 초점을 맞췄다.
점검 결과, 접근권한 현행화(29%), 비공무원 계정발급 절차 도입(40%)은 이행률이 저조하였고, 이상행위 탐지(내부 이용자 접속기록 관련 특이사항 모니터링) 및 사전승인·사후보고 절차 도입 등은 이행이 더뎌 향후 추가적인개선이 필요한 것으로 조사됐다. 협의회 설치와 책임자 지정, 안전조치방안 수립, 전담인력 보유 등은 전반적으로 빠르게 개선 중인 것으로 확인됐다.
개인정보위는 상대적으로 이행이 용이한 협의회 설치와 시스템별 책임자 지정, 안전조치 방안 수립, 인사정보 연계, 접근권한 현행화, 비공무원 계정발급 절차 도입, 사전·사후 절차 도입 등은 올해 안으로 개선을 마치도록 권고했다. 다만 예산 확보와 시스템 개선이 필요한 과제는 활용 가능 예산 내에서 우선 추진하면서 내년도 예산을 편성해 적극 이행토록 개선 권고했다.
