[지디넷코리아]
“공공기관의 개인정보보호 수준 평가를 한층 내실화하고 그 결과를 적극적으로 환류하는 체계를 확립하겠습니다. 특히 주요 공공시스템을 대상으로 모의해킹 등 사전적인 취약점 점검을 한층 강화하겠습니다.”
송경희 개인정보보호위원회 위원장은 13일 사회보장정보원(사보장)에서 열린 ‘공공분야 개인정보보호 1차 현장 방문’에서 “지난해 11월간(1월~11월) 공공분야 개인정보 유출 신고가 111건으로 2020년 이후 5년만에 10배 이상 증가했다”며 이 같이 밝혔다.
이날 행사는 개보위가 추진하는 주요 정책방향을 의료와 보건 등 각 분야별로 알리고, 송 위원장과 간부들이 직접 만나 소통하며 현장에서 나온 의견들을 정책에 반영하기 위해 마련됐다.
최근 반복하는 대규모 유출사고에 대응해 개보위는 올해를 ‘개인정보 보호 사전예방 체계로의 대전환 원년’으로 선포, 사후제재에서 사전예방으로 정책의 중심을 변경했다.
행사에는 송 위원장 외에 개보위에서 양청삼 사무처장, 남석 조사조정국장이 참석했고, 보건복지부와 한국사회보장정보원, 건강보험심사평가원, 국민연금공단, 건강보험공단, 국립중앙의료원, 한국교통안전공단, 한국재정정보원 관계자와 한국CPO협의회 염흥열 회장(순천향대 명예교수), 한국인터넷진흥원(KISA) 황보성 본부장이 동참, 의견을 나눴다.
개보위에 따르면, 공공분야는 약 1만2000개 개인정보처리시스템을 운영하고 있다. 이를 통해 약 36만개 개인정보 파일과 약 770억건의 개인정보를 처리하고 있다. 송 위원장은 지난해 잇달은 민간 분야 대규모 개인정보 유출 사고로 국민 불안과 우려가 심각한 상황이라면서 “데이터 시스템 대형화 및 플랫폼화에 따라 개인정보가 집중되면서 유출 위험은 계속 증가하고 있다. 공공기관들도 결코 안전지대에 있다고 할 수 없다”면서 “실제, 공공기관의 개인정보 유출 원인은 업무과실 비중이 56%로 민간의 18%에 비해 상당히 높다”고 지적했다.
이어 공공 영역은 민간보다 훨씬 방대한 양의 개인정보를 장기간 축적하고 다수 기관간 연계해 활용하고 있다면서 “특히 의료, 사회복지, 연금, 교통안전과 같은 분야는 다른 어떤 영역보다 개인정보 규모와 민감도가 높다. 진료기록이나 질병, 장애, 소득 및 수급 정보는 유출될 경우 낙인, 차별 등 막대한 파급력으로 이어질 수 있는 정보다. 공공분야는 더 높은 수준의 책임이 요구되며 그 중요도에 걸맞은 보호 체계를 확립해야 한다”고 강조했다.
사전에 미리 위험을 차단하고 관리하는 구조 설계와 촘촘하게 방비하는 체계를 구축하는 것도 당부했다. 개보위도 작년부터 개인정보보호 체계의 근본적 개선을 위한 정책 방안을 적극 추진하고 있다.
송 위원장은 작년 12월 CEO의 책임과 CPO의 역할과 권한을 강화하는 개정 법안이 국회 상임위(정무위)를 통과했다면서 “개인정보 보호가 전산 또는 법무 담당자만의 이슈가 아니라, 기관장이 최종 책임져야 하는 사안임을 명심해야 한다. 이번 개정안에는 주요 처리자에 대한 CPO 지정 신고제와 ISMS-P인증 의무화가 반영돼 있다”고 짚었다.
또 선제적인 평가와 점검 체계도 강화하겠다면서 “위원회는 공공분야도 민간과 같이 법령 위반에 대해 엄정한 제재 방침을 예외없이 적용하겠다”고 말했다.
송 위원장은 채찍’과 함께 ‘당근’도 제시했다. “선제적 보호투자를 우수하게 이행한 기관에는 유출 제재를 감경하는 등 분명한 인센티브를 두겠다”면서 “오늘 수렴한 의견을 바탕으로 제도를 보완하는 한편 보호체계 확립에 필요한 인력, 예산, 기술 자원이 원활하게 확보되도록 적극적 지원책을 모색하겠다”고 덧붙였다.
송 위원장에 이어 고낙준 개보위 신기술개인정보과장은 ‘2026년 개인정보보호 중점 시책’을 발표했다.
앞서 개보위는 공공분야 개인정보 유출을 계기로 2022년 7월 ‘공공부문 개인정보 유출방지 대책’을 내놨고, 2023년 4월에는 ‘집중관리시스템 개인정보 안전조치 강화 계획’을 발표했다. 이어 집중관리시스템 지정(당시 1515개) 및 총 382개 시스템을 대상으로 2025년까지 2년여간 순차 점검을 이행했다.
2024년 9월에는 정부부처, 공공기관 등 총 63개 기관의 382개 시스템을 대상으로 강화된 안전조치를 의무 부과했고, 중앙행정기관 및 소속기관과 지방자치단체, 공공기관, 지방공기업 및 교육행정기관 등 총 1450개 공공기관을 대상으로 매년 공공기관 보호 수준 평가를 수행하고 있다. 2024년부터 1450여 공공기관을 대상으로 한 개인정보보호 진단이 법정평가로 승격한 것이다.
고 과장에 따르면, 공공기관의 개인정보 유출 사고는 최근 4년간 계속 상승했다. 작년 11개월간(1월~11월) 111건으로 전년(104건) 1년보다 많았고, 전전년(2023년, 41건)보다는 2.8배 늘었다. 고 과장은 “최근 공공 및 민간 분야 모두 유출 신고 건수가 지속 증가하고 있으며, 특히 공공분야는 2022년부터 지난 3년간 유출신고 건수가 5배 가량 증가했다”면서 “공공기관은 업무과실로 인한 유출이 56%로 가장 많았고, 민간기관은 해킹이 75%로 가장 많았다”고 들려줬다.
고 과장은 개보위가 올해 시행할 개인정보보호 정책 방향으로 다섯 가지로 ▲CEO와 CPO 중심 개인정보 관리 체계 확립 ▲선제적 예방을 위한 실질적 투자 유인 마련 ▲주요 공공시스템 대상 취약점 점검 강화 ▲공공기관 보호 수준 평가제도 내실화 ▲ISMS-P 인증 실효성 극대화 등을 제시했다.
실제, CPO의 역할과 권한을 강화하는 한편 개인정보 처리 및 보호의 최종 책임자로 CEO를 명문화한 관련 법령 개정을 추진, 시행한다. 관련 법령에 따르면, 대규모 개인정보처리 기업 및 기관은 CPO를 지정, 신고해야 하며 임면시 반드시 이사회 의결을 거쳐야 한다.
전문CPO 지정 의무기관은 기준이 크게 네 가지로 ▲첫째, 매출액 1500억 이상인 곳의 개인정보(또는 5만명 이상 민감 및 고유식별정보) 처리자 ▲둘째, 상급종합병원 ▲셋째, 재학생 2만명 이상 대학 ▲넷째, 공공시스템운영기관 등이다. 또 CPO는 개인정보 인력 관리 및 예산 확보 권한이 있는 반면, 주요 사항은 이사회에 보고할 의무가 있다.
고 과장은 이를 시행하기 위한 검토 사항도 제시했다. 즉, CPO 지정신고 의무 및 임면 절차 도입에 대비한 각 기업 및 기관의 내부 인사 절차 정비와 개인정보보호 최종책임자로서 CEO의 관리 의무를 성과와 연계하는 방안이 필요하다는 것이다.
선제적 예방을 위한 실질적 투자 유인과 관련 고 과장은 “예산, 인력, 장비, 설치 등 충분한 개인정보보호 투자를 한 기관과 기업은 과징금을 경감하고 관계부처와 협의해 선제적 예방 투자기준도 마련하겠다”고 덧붙였다. 현재, 개보위는 공공기관 대상 실태를 파악중인데, 이를 통해 개인정보 보유 규모 등 기관별 특성을 고려한 세부기준을 마련할 예정이다. 또 정보보호 공시제도 등 유사제도 분석을 통해 개인정보 분야 예산 산정 기준도 제시할 계획이다. 현재 공공분야 개인정보보호 전담인력(CPO 제외)은 기관당 0.3명에 불과한 실정이다.
고 과장은 주요 공공시스템의 외부 불법접근 방지를 위해 취약점 점검 의무화도 구체화하겠다고 밝혔다. 구체적으로, 취약점 점검 시행 요건을 추가(소스코드 변경시 의무점검)하고, 필수 점검 항목(xss, SQL인젝션 등)을 지정할 계획이다. 고 과장은 “외부에서 공격 가능한 지점들에 대한 취약점 상시 관리 등 공격표면관리를 강화하고 DMZ 구간에 존재하는 서비스와 외부 노출자산 및 API 등에 대한 취약점 점검을 수행하도록 개정을 검토중”이라고 말했다.
공공기관 보호수준 평가 제도도 강화하는 쪽으로 내실화한다. 이에, 2026년 보호수준평가에서는 유출 사고시 감점 폭이 기존 10점에서 15점으로 높아지고, 개선권고 대상 범위 확대와 명단 공표를 추진하며, 시스템 관리 현황에 대한 신규 지표를 도입한다. 또 기존 5단계를 6단계로 확대, F등급(매우 미흡)을 신설, 경각심을 높인다.
또 ISMS-P 인증 실효성도 강화, 오는 2027년 7월부터 의무화하며, 예비심사 도입과 현장 기술심사를 강화하며, 사고기업 대상 특별점검 실시와 중대 및 반복적 법 위반시 인증 취소에 나선다.
고 과장은 향후 계획에 대해 “1~2월중 시급히 확충이 필요한 공공기관의 개인정보 인력과 예산을 파악하고, 3월부터 개인정보 전담 인력 및 예산 보강 관련 관계부처 협의를 하며, 4월부터는 2026년 공공기관 개인정보 보호수준 평가 추진계획 공개 및 편람을 발간하고, 상반기중 CEO와 CPO 제도 개선 및 ISMS-P 인증 의무화 관련 하위법령을 정비하고, 연내 안정성 확보조치 기준 고시를 개정하겠다”고 밝혔다.