[뉴스토마토 최수빈 기자] 연이은 기업들의 개인정보 유출 사고로 개인정보 보호에 대한 우려가 지속되고 있습니다. 이에 정부는 과징금 및 과태료 부과 규모를 대폭 확대하는 등 적극적으로 민간 기업 규제에 나서고 있습니다. 다만 개인정보 유출이 증가하고 있는 공공기관을 두고선 규제에 소극적인 모습인데요. 사실 공공기관의 경우 정보보호 인력의 확보가 어려운 데다 그마저도 순환 근무 체제로 돌아가는 통에 전문성을 쌓기 어려운 구조입니다. 그럼에도 개인정보를 대량으로 다루는 만큼 공공기관에서 개인정보가 유출되면 돌이킬 수 없는 큰 피해가 발생할 수 있어 근본적 해결책 마련이 시급한 상황입니다.
문화체육관광부와 농림축산식품부, 환경부, 고용노동부 등이 입주한 정부세종청사 전경. (사진=뉴시스)
공공기관, 개인정보 유출 사고 느는데…국가정보원은 후한 점수 부여
공공기관은 주민등록번호와 금융정보 등 대량의 민감 개인정보를 법령에 따라 별도 동의 없이 수집하고 있는 만큼 높은 수준의 보안성이 요구됩니다. 그러나 공공기관의 개인정보 유출 사례는 점차 증가하고 있는 실정인데요.
앞서 지난 4월 행정안전부의 ‘정부24’에서 타인의 민원서류가 발급되는 등 시스템 오류로 1200건이 넘는 이름과 주소, 주민등록번호 등이 유출된 바 있습니다. 지난 1월에는 학생과 교직원 등 11만명의 정보를 보유한 인천시교육청 계정에서 해킹 의심 사건이 발생해 개인정보위원회가 조사에 착수했습니다.
지난 5년 동안을 살펴보면 공공기관의 개인정보 유출 건수는 65배나 늘어났습니다. 윤영덕 전 민주당 의원실이 개인정보보호위원회로부터 제출받은 자료에 따르면 공공기관 개인정보 유출 신고 건수는 2019년 5만2000건, 2020년 7만4000건, 2021년 21만3000건, 2022년 64만8000건에 이어 지난해 8월 기준 339만 8000건을 기록했습니다.
공공기관에 의한 개인정보 유출의 경우 내부자의 실수로 인한 경우가 대부분이지만, 해킹에 의한 유출도 지난해 급증했는데요. 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 한국인터넷진흥원(KISA)로부터 제출받아 공개한 개인정보 유출 현황 자료에 따르면 지난해 민간기관에서 해킹에 의해 개인정보가 유출된 경우는 총 15건입니다. 2019년에는 2건, 2020년 3건, 2021년 5건, 2022년 4건이 발생한 바 있습니다.
특히 북한의 해커조직 ‘라자루스’로 추정되는 집단은 최근 법원 전산망을 해킹했는데요. 사법부의 전산망을 2년 넘게 해킹해 1014기가바이트(GB) 분량의
개인정보를 유출한 것으로 확인됐습니다. 라자루스가 해킹해 빼간 개인정보에는 전국에서 진행되는 각종 재판의 정보는 물론 금융 정보와 의료 진단서, 탈북민의 개인정보 등이 포함됐을 가능성이 있습니다.
그럼에도 국가정보원은 올해 공공기관 사이버보안 상태에 대해 후한 점수를 줬습니다. 국가정보원이 올해 공공기관 87곳을 대상으로 실시한 사이버보안 실태조사 결과에 따르면 우수 29곳, 보통 58곳으로 미흡 등급을 받은 기관은 없습니다. 공공기관의 개인정보 유출 건수는 해마다 늘어나고 있지만, 국가정보원의 평가는 지난해 25개 기관이 미흡 등급을 받은 것에 비해 진전됐습니다.
개인정보보호위원회 명패 (사진=개인정보위)
정보보호 전담 부서 감소…"급여체계·순환보직 손봐야”
민관을 막론하고 개인정보보호의 중요성이 어느 때보다 높아진 시점인데요. 민간기업과 공공기관의 개인정보 유출 처벌 수위에 차이가 있습니다. 지난 2020년 8월 출범 이후 올해 5월까지 개인정보위원회가 공공기관에 부과한 평균 과징금은 2342만원으로 민간 기업(17억6321만원)의 1.3%에 불과합니다. 개인정보보호법은 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과하는 최대 과징금을 20억원으로 제한하고 있습니다.
이외에도 공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 현저하게 떨어진다는 지적이 나옵니다. 개인정보보호법에 따르면 민간 기업뿐 아니라 방대한 양의 개인정보를 다루는 대형병원이나 대학 등은 전문성과 독립성을 갖춘 CPO를 의무적으로 지정해야 합니다. 개인정보보호법에 따르면 CPO는 개인정보보호 경력 2년 이상을 포함해 개인정보 및 정보보호, 정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 합니다.
반면 공공기관에서 근무하는 CPO의 경우 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있습니다. 개인정보 1200여건을 유출한 ‘정부24’ 등 행정안전부의 CPO도 관련 분야와 무관한 인물로 알려졌는데요. 또 공공기관에는 개인정보를 총괄하고 책임지는 정보보호최고책임자(CISO)를 둘 의무가 없습니다. 김승주 고려대학교 정보보호대학원 교수는 “공공기관의 경우 연봉 등의 문제로 (정보보호 인력이) 꺼리는 경우도 있다”라며 “공무원이라는 직제 자체가 순환 보직이니, 몇 년 후에 다른 부서로 이동하면서 전문성이 얕아진다. 국가정보원은 해당 업무에 오래 있도록 배려하는 편이지만 그마저도 철저하게 지켜지지 않고 있다”고 진단했습니다.
엎친 데 덮친 격으로 2023년 기준 공공기관에서 정보보호를 전담하는 부서는 줄고 있습니다. 국정원이 발간한 2024 국가정보보호백서에 따르면 중앙행정기관 23곳, 지방자치단체 31곳, 공공기관 59곳의 응답기관 중 정보보호 전담부서를 운영하는 기관은 2022년 72.73%에서 2023년 61.96%로 약 11%포인트 감소했습니다.
김 교수는 “급여 체계와 순환보직 문제를 손봐야 한다. 또 CISO와 CPO 책임자를 고위 공직자로 임명해서 업체처럼 책임성을 묻는 문제도 해결돼야 한다”라며 “IT나 정보보호 분야에 사기업만큼의 충분한 예산의 공급 등 복합적으로 문제가 해결돼야 한다”고 조언했습니다.
최수빈 기자 choi32015@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지