집중관리가 필요한 시스템엔 3단계 안전조치를 적용한다. 개인정보를 고의로 빼돌리거나 부당하게 사용한 공무원은 즉각 파면 또는 해임된다.
개인정보보호위원회는 14일 한덕수 국무총리 주재 제3회 국정현안점검조정회의에서 ‘공공부문 개인정보 유출 방지대책’을 보고했다.
대책은 공공부문 개인정보 유출 근절을 목표로 △취급자 처벌 강화 △공공부문 개인정보처리시스템 보호강화 △사각지대 없는 보호 관리체계 구축 △공공부문 개인정보 보호기반 구축 등을 담고 있다.
개인정보 유출 규모는 해마다 증가하고 있다. 2017년 2개 기관 3만6000건에서 지난해 22개 기관 21만3000건으로 기관은 10배, 유출 건수는 7배 이상 증가했다.
개인정보위는 우선 국민 개인정보를 고의로 유출하거나 부정이용하면 무관용 원칙에 따라 파면·해임하는 ‘원스트라이크 아웃’ 제도를 도입한다. 비위 정도가 심하면 단 한 차례 위반에도 공직에서 쫓겨난다.
개인정보 취급자가 개인정보를 부정 이용하면 5년 이하 징역이나 5000만원 이하 벌금을 무는 처벌 규정도 보호법에 신설한다.
위원회는 공공기관 대상 과태료·과징금도 적극 부과하고, 법 위반 단속 강화를 위해 집중관리 개인정보관리시스템 대상 기획 점검을 연내 실시하기로 했다.
집중관리 대상 시스템엔 3단계 안전조치 의무가 부과된다. 위원회에 따르면 접속기록 관리 시스템을 구축한 비율은 56%, 인사 이동 시 15일을 초과해 접근 권한을 현행화하는 시스템은 43%에 불과하다.
정부는 개인정보 보유량, 민감성 및 유출 시 파급효과, 취급자수 등을 기준으로 공공부문 시스템 1만6199개 중 10%를 집중관리대상으로 선정했다.
해당 시스템엔 개인정보 취급자 계정 발급을 엄격화한다. 인사 정보와 연동하고 미등록 직원은 계정 발급이 금지된다. 이용기관 목적 외 시스템 이용을 막고 취급자가 필요·최소 정보에만 접근하도록 권한을 제한하는 것이다.
접속기록 관리시스템 도입도 의무화한다.
운영기관은 이용기관이 취급자 접속기록을 조회할 수 있도록 허용해야 한다. 또 비정상적 접근시도를 탐지·차단하는 기능을 구현해야 한다.
대규모 개인정보나 민감한 정보를 처리할 땐 사전 승인을 받거나 사후 소명하도록 하고 개인정보 활용 시 정보주체(국민)에게도 처리 사실을 알려야 한다.
정부는 3단계 안전조치를 2024년까지 집중관리 시스템부터 우선 도입하기로 했다. 2024∼2025년엔 전체 공공부문으로 확대할 계획이다.
개인정보 처리책임과 역할도 명확해진다. 개인정보 처리시스템 이용기관에서 소속 취급자 접속기록을 직접 점검하는 비율은 1%에 불과하다.
개인정보 처리시스템 이용기관은 소관부처와 시스템 운영·이용 기관이 모두 참여하는 개인정보 보호 협의회를 설치·운영해야 한다. 개별 시스템별로 보호책임자를 지정해 개인정보 처리를 관리·감독하고 시스템 단위 안전조치 방안도 수립해야 한다.
개인정보 보호 법령에 수탁자 조사·처분 규정을 신설하고 이용기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보처리자로 간주해 취급자 교육과 관리·감독 책임을 강화해야 한다.
아울러 지방자치단체 책임 강화를 위해 표준 개인정보 보호 조례안을 제공하고 지역별 정책수립을 위해 시도 개인정보 관계기관 협의회 설치를 지원하기로 했다.
개인정보위 공공부문 대응 기능도 확대된다. 개인정보 보호 법령에 인력 배치 근거를 마련해 집중관리 시스템 운영기관에 적정 인력 배치를 권고한다. 각 기관은 3단계 안전조치 의무를 위한 필수 시스템을 단계적으로 확충해야 한다.
정보화 예산 낙찰 차액을 개인정보 보호 강화에도 활용할 수 있게 하는 방안을 검토하고 개인정보위가 유출 신속 대응과 함께 수준 진단과 영향평가 결과 개선권고를 하는 등 공공부문 점검, 관리를 강화한다.
개인정보위는 부처간 정기 협의체를 구성해 대책 실효성을 확보하고 정책을 추진할 예정이다. 나아가 시스템별 특성·개인정보보호 조치 수준 현황을 조사하고 기획점검도 할 계획이다.
송금종 기자 song@kukinews.com