전 국민의 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관의 특성상 유출 위험이 크지만, 과징금 등 사후 제재만으로는 예방 효과가 제한적이라는 판단에서다.
개인정보보호위원회(위원장 송경희, 개인정보위)는 위험기반 관리(Risk-based), 증적중심 점검(Evidence-based), 결과·인센티브 연계(Outcome-linked)로 자발적 개선 유도를 원칙으로 공공기관부터 사전예방 중심 관리를 강화하겠다고 밝혔다.
개인정보위는 실태점검과 함께 컨설팅·지원, 안내서·우수사례 보급, 상시 모니터링 등을 병행해 지속 가능한 보호 체계를 구축한다는 방침이다.
|
개인정보위에 따르면 공공부문 유출 신고는 2022년 23건에서 2023년 41건, 2024년 104건으로 급증했으며 2025년에는 128건으로 늘었다. 이는 전체 유출 신고의 28.6%에 해당한다. 유출 원인은 업무과실이 64%로 가장 많았고, 해킹이 32%였다. 위반 유형은 안전조치 의무 위반이 64%로 가장 큰 비중을 차지했다.
집중관리시스템 확대…58개 기관·387개 시스템
개인정보위는 공공부문 ‘집중관리시스템’을 확대 지정한다.
집중관리시스템은 개인정보 보유량, 취급자 수, 민감·고유식별정보 처리 및 연계 여부 등을 기준으로 선정되는 고위험 시스템으로, 지정되면 일반 시스템보다 강화된 안전조치를 적용해야 한다.
이번 조치로 혈액정보관리시스템(대한적십자사) 등 8개 시스템이 신규 지정됐다. 감염병 확산 시 한시적으로 사용된 역학조사지원시스템(질병관리청)은 지정에서 제외됐다. 또 기존 집중관리시스템인 워크넷 등 3개 시스템이 ‘고용24’로 통폐합됨에 따라 고용24(한국고용정보원)로 지정이 변경됐다.
이에 따라 공공부문 집중관리시스템은 2024년 57개 기관 382개 시스템에서 2026년 58개 기관 387개 시스템으로 늘었다(기관 1곳, 시스템 5개 증가). 집중관리시스템에는 개인정보취급자 권한부여 시 인사정보 연계, 접속기록 자동 분석 등 강화된 통제 수단이 적용된다.
3월까지 긴급 실태점검…인증수단·패치·로그 비식별 중점
개인정보위는 3월까지 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다. 최근 대형 유출사고에서 드러난 취약요인을 중심으로 점검해 재발 위험을 낮추겠다는 취지다.
집중관리시스템은 최신 보안패치 적용 여부, 취급자 접속 시 인증서·일회용 비밀번호(OTP) 등 안전한 인증수단 적용 여부, 로그에 주민등록번호 등 주요 정보가 남지 않도록 비식별 조치가 이뤄졌는지 등을 중점 점검한다. 1만 건 이상 주민등록번호를 처리하는 시스템은 안전한 암호화 알고리즘 적용 여부와 암호키 관리 방식 등을 살핀다. 점검 결과 미흡 사항은 기관이 우선 조치하되, 개인정보위는 위험도에 따라 컨설팅 등 개선 지원과 불시 점검을 통해 지속적으로 환류할 계획이다.
고유식별정보 실태조사 ‘전면 개편’…증빙 중심으로 바꾼다
주민등록번호 등 고유식별정보를 일정 규모 이상 처리하는 기관에 대한 안전관리 실태조사도 전면 개편된다. 그간은 기관 자체점검 결과를 서면으로 제출하는 방식이 중심이어서 형식적 점검에 그치고 강제성이 약하다는 지적이 있었다.
개인정보위는 공공기관 개인정보파일 목록에 기재된 고유식별정보 유형과 처리 규모 등을 바탕으로 위험도를 산정해 점검 대상을 정교화하기로 했다. 이를 위해 개인정보파일 목록을 상반기 중 현행화한다. 점검 항목도 26개에서 핵심 위주로 재편해 취급자 권한 부여 현황, 조회 시 일부 마스킹 등 비식별 조치, 암호키 관리 실태 등을 증빙자료로 확인하는 방식으로 실효성을 높인다. 미흡 사항이 확인되면 개선계획 제출을 의무화하고, 우수기관에는 일정 기간 점검 면제와 포상 등 인센티브를 제공할 계획이다.
송경희 개인정보위 위원장은 “공공기관은 당사자 동의 없이도 법령에 따라 전 국민의 중요 개인정보를 대규모로 처리하는 만큼 사전 예방적 관리가 더욱 요구된다”며 “공공부문을 필두로 사전 예방 중심 개인정보 보호 체계가 사회 전반에 뿌리내리도록 적극 추진하겠다”고 밝혔다.
