개인정보보호위원회(위원장 송경희)가 공공부문의 개인정보 유출 사고를 막기 위한 제도 개선에 나선다. 외부 해킹 예방을 위한 보안 점검 의무화부터 징계 기준 상향까지 전방위적인 대책이 추진된다.

[블랙엣지뉴스=장우영 기자] 개인정보위는 3월 25일 제5회 전체회의에서 '공공부문 개인정보보호 강화를 위한 제도개선 추진 방안'을 보고했다.

5년간 유출의 95%가 외부 해킹…인적 과실도 61% 달해

이번 대책은 공공부문 개인정보 유출 신고가 해마다 늘어나는 추세 속에서 마련됐다. 개인정보위에 따르면 2021년부터 2025년까지 5년간 공공부문에서 유출된 개인정보의 95%가 외부 해킹을 통한 것으로 나타났다. 신고 건수 기준으로는 오입력·오발송 등 인적 과실에 의한 유출이 61%를 차지해 두 가지 유형 모두에 대한 대응이 시급한 상황이다.

주요 공공시스템, 취약점 점검·모의해킹 연 1회 이상 의무화

외부 해킹 대응을 위한 핵심 조치는 보안 점검 의무화다. 개인정보위가 지정한 58개 기관, 387개 시스템으로 구성된 '집중관리시스템'을 대상으로 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 각각 연 1회 이상 추가로 실시해야 한다. 점검에서 발견된 취약점은 지체 없이 보완·개선하도록 했다.

개인정보위는 이 같은 내용을 담은 '개인정보의 안전성 확보조치 기준' 고시를 즉시 개정하고 내년부터 시행할 방침이다.

인적 과실엔 시정명령 강화…평가 감점도 대폭 확대

인적 과실로 인한 유출에 대해서도 대응 수위를 높인다. 그동안은 재발 방지 촉구 등 권고 수준에 그쳤지만, 앞으로는 시정명령을 적극 부과하는 방향으로 전환한다. 아울러 2026년도 공공기관 개인정보 보호수준 평가에서 보호법 위반으로 처분을 받은 기관에 대한 감점을 대폭 확대해 처분의 실효성을 높일 계획이다.

징계 기준도 강화된다. 현재 개인정보위 내부지침으로 운용 중인 '개인정보보호 법규 위반에 대한 징계권고 기준'을 고시로 격상해 대외적 구속력을 높이는 한편, 개인정보보호 담당자에 대한 포상·인센티브 방안도 검토할 예정이다.

현장 맞춤형 교육도 병행

제도 개선과 함께 실무 교육도 강화한다. 공공부문에서 반복적으로 발생하는 오입력·오발송·오공개 등 사례와 우수 사례를 중심으로 맞춤형 교육 콘텐츠를 제작·배포하고, 2026년도 보호수준 평가 권역별 설명회와 연계한 담당자 교육도 실시할 계획이다.

개인정보위는 "공공기관이 국민의 개인정보를 대규모로 처리하는 만큼, 공공부문 사고 특성에 맞는 예방 중심의 관리체계를 강화해 나갈 것"이라며 "해킹 등 외부 위협과 인적 과실 모두에 효과적으로 대응할 수 있는 제도 개선을 통해 실질적인 개인정보보호 수준을 높여 나갈 방침"이라고 밝혔다.

감사·내부통제 전문지 BLACK EDGE / 장우영 기자