앞으로 공공기관 직원이 국민 개인정보를 유출하거나 부정 이용하면 즉시 파면‧해임하는 원스트라이크 아웃제가 도입된다. 한 지방자치단체 사회복무요원이 개인정보를 유출했던 ‘n번방’ 사건이나 구청 공무원으로부터 정보를 사들여 신변보호를 받던 여성의 어머니를 살해한 이석준 사건 등이 재발하지 않도록 하기 위해서다.
개인정보보호위원회는 14일 한덕수 국무총리 주재 국정현안점검조정 회의에서 이같은 내용의 공공부문 개인정보 유출 방지대책을 보고했다. 개인정보 유출 및 부정이용 등의 비위 수준이 심각할 경우 한 번만 위반해도 즉시 공직에서 퇴출당한다. 개인정보 취급자가 개인정보를 부정 이용하면 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과토록 처벌 규정도 신설했다.
이는 개인정보 유출 규모가 2017년 2개 기관 3만6000건에서 2021년 22개 기관 21만3000건으로 급증한 데 따른 것이다. 그동안 개인정보 유출에 대한 중징계는 2017년 9건에서 2020년 2건으로 감소하는 등 처벌이 약해 지속적인 범행 유인 요건으로 작용했다.
지난해 기준 공공부문은 모두 669억건(중복 포함)의 개인정보를 처리했고, 공공기관 16.4%는 100만명 이상의 개인정보를 보관하고 있다. 최영진 개인정보위 부위원장은 브리핑에서 “디지털화가 급속히 진행돼 해킹 시도도 크게 늘어났다”며 “다만 내부 유출이 외부 해킹보다 6:4의 비율로 더 많다”고 설명했다.
정부는 또 민감한 개인정보를 취급하는 공공부문 시스템 1만6199개 가운데 10% 수준인 1608개 시스템(327개 기관)을 집중관리대상으로 선정했다. 이들은 접속기록 관리시스템 의무 도입, 취급자 계정 발급 엄격화, 민감 정보 처리시 사전승인(사후 소명) 및 국민 공개의 3단계 안전조치를 해야 한다.
주민등록관리시스템, 자동차 관리시스템, 코로나19 대응 시스템 등이 대표적이다. 공공부문 중 개인정보 접속기록 관리 시스템을 구축한 비율은 56%에 불과했고, 인사이동 후 15일이 지나도록 접근 권한이 유지되는 시스템은 43%에 달했다.
지자체 등 개인정보 처리시스템 이용기관의 책임 범위도 명확히 한다. 개인정보위 조사 결과 개인정보 처리시스템 이용기관에서 소속 취급자에 대한 접속기록을 직접 점검하는 비율이 1%에 불과한 것으로 나타났다. 시스템 개발 주체와 이용 주체가 달라 발생한 문제다. 정부는 개인정보 이용기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보 처리자로 처분하고 취급자 교육 및 관리·감독 책임을 강화하기로 했다.
관련 인력과 예산도 확충한다. 개인정보 보호 예산이 1000만원 미만인 곳이 60.1%나 된다. 이에 따라 개인정보 전담 부서가 있는 기관은 3.8%, 전담 인원도 평균 0.5명 수준에 불과했다. 윤종인 개인정보위 위원장은 “공공부문의 개인정보 유출로 국민이 고통받는 경우가 다시는 발생하지 않도록 철저하게 점검·관리하겠다”고 말했다.
강준구 기자 eyes@kmib.co.kr