정부, 공공부문의 안전한 개인정보 관리 지속 유도중
지난해 관계부처 합동 대책 수립, 올해 현장점검 강화 계획
[보안뉴스 김경애 기자] 공공부문은 대다수 국민의 개인정보를 대규모로 보유·처리하고 있다. 하지만 최근 AI·데이터 시대의 반작용으로 각종 보안사고가 증가하며 2차 피해 발생도 늘고 있다.한국장학재단(2023년 6월), 한국고용정보원(2023년 7월), 한국사회복지협의회(2024년 1월) 등에서 유출사고가 발생했으며, n번방 사건(동사무소 공익요원 통해 개인정보를 입수해 n번방 회원 협박), 송파·신당역 살인사건(개인정보 불법매매·지방공사 직원이 피해자 근무위치 불법 조회) 등도 개인정보 유출과 관련돼 있다.
[이미지 = gettyimagesbank]
이에 정부는 관계부처 합동으로 지난해부터 ①주요 공공시스템 선정(1,515개) 및 사전 실태점검(2023년~2025년 3개년) ②사고 발생 시 사후 제재 강화(과태료 → 과징금, 형사처벌 및 원스트라이크아웃 도입 등 제도개선) ③개인정보보호 강화를 위한 환경 조성(각종 업무평가에 개인정보 관련 내용 포함) 등의 대책을 수립해 시행하고 있다.
범부처 ‘집중관리시스템 개인정보 안전조치 강화계획’ 수립(2023년 4월), 9개 부처·2개 청이 참여한 ‘개인정보 정책협의회’ 개최(2023년 4월)가 그 예다.
특히, 올해는 변화된 정책 및 제도에 대한 지속적 계도와 함께 부처 합동 현장점검 등을 적극적으로 추진해 공공부문 개인정보 유·노출 사고의 사전 예방과 안전한 개인정보 관리에 더욱 만전을 기해나간다는 방침이다.
이와 관련 개인정보보호위원회는 모든 공공기관의 경우 개인정보 관련 사고 발생 시 제재 수위가 대폭 상향된 데다 각종 평가(정부·지자체 업무평가, 공공기관 경영평가 등)에 개인정보 관리실태 관련 사항이 반영된 만큼 보다 강화된 책임의식을 갖고 전담조직·인력을 갖춰 안전한 개인정보 관리에 최선을 다해줄 것을 요청했다.
1. 공공부문 개인정보 유출·침해 사고의 사전 예방을 위한 기반 마련
범부처 ‘집중관리시스템 개인정보 안전조치 강화계획’ 수립(2023년 4월)
그간의 공공부문 개인정보보호 강화 방안을 종합해 보면 주요 공공시스템 1,515개(126종)를 집중관리 대상으로 지정하고, △시스템 관리 체계 △접근권한 부여·관리 △접속기록 점검 △담당인력 및 시스템 확충 등 10대 과제를 부여했다. 지정기준은 개인정보 보유량, 취급자수 및 민감정보·주민등록번호 처리 여부 등이다.
강화계획에 따른 표준배포시스템 합동 전수점검(2024년 연중)
다음으로 표준배포시스템에 대해 사전 실태점검을 실시할 방침이다. 협의회 운영, 시스템별 책임자 지정 및 안전조치 등 통합 관리체계 구축, 기관별 개인정보 전담인력 배치 권고 및 시스템 기능 개선 등을 단계적으로 추진할 계획이다. 정보화 예산 낙찰차액을 활용할 수 있는 근거는 2023년 예산 집행지침에 이미 반영된 것으로 알려졌다.
강화계획 상의 10대 과제 법적 의무화
‘개인정보보호법 시행령’ 제30조의2(공공시스템 안전조치 특례), ‘개인정보의 안전성 확보조치 기준’ 제3장(제14조~제17조)에 따라 10대 과제 법적 의무화는 계도기간을 거쳐 오는 9월 본격 시행될 예정이다.
2. 공공부문의 개인정보 관리 미흡시 사후적 제재 대폭 강화
위법행위를 한 공공기관 : 과징금 부과(2023년 9월 이후 발생 사건)
보호법 개정 이후, 안전조치 의무 위반으로 개인정보가 유출된 경우 공공기관도 과징금 부과 대상이 되고, 과징금 상한도 크게 증액됐다. 개정법 시행 전의 경우 공공기관은 주민등록번호 유출 시에만 과징금 부과 대상이었으나, 이제는 위법행위가 적발된 경우도 과징금이 부과된다.
매출액이 없는 경우는 정액 과징금이 부과되고, 과징금 상한액은 기존 5억원에서 현행 20억원으로 4배 증액됐다.
일례로, 서울대학교병원의 경우 해킹으로 67.6만건의 개인정보가 유출돼 과징금 7,475만원, 과태료 660만원으로 공표된 바 있다.
위법행위를 한 개인정보취급자(공무원 및 임·직원 등) : 징계권고 및 형사처벌
개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우, 단 한 번이라도 바로 파면·해임(원스트라이크아웃)이 가능(2023년 1월~)하다.
이러한 사항은 ‘국가공무원 복무·징계 관련 예규’, ‘지방공무원징계업무 편람’에 반영됐다. 송파 살인사건의 경우 개인정보를 유출한 수원시 권선구 공무원에 대해 징계권고(2022년 6월)로 수원시는 해당 공무원을 파면했다.
개인정보 부정 이용 시에도 형사처벌이 가능(2023년 9월~)해졌다. 보호법 개정으로 불법적인 제3자 제공뿐만 아니라 부정 이용하는 경우에도 형사처벌(5년 이하의 징역 또는 5천만원 이하의 벌금)이 가능하다. 수험생 응시 정보를 부정 이용한 수능 감독관의 경우 징역 4월(집행유예 1년, 2020년 서울중앙지법)을 선고 받았다.
3. 공공부문이 개인정보 보호에 보다 우선순위를 두고 역량을 집중할 수 있는 환경 조성
공공기관 개인정보보호 수준 평가제 전면 도입(2024년~)
보호법 개정으로 종전 ‘관리수준 진단’에서 ‘보호수준 평가’로 한층 강화됐다. 이에 따라 평가대상 공공기관은 기존 800여 개에서 1,600여 개로 2배 증가했다. 중앙행정기관 등 800여개 포함(2023년), 소속기관 및 시‧도교육청 등 1,600여개가 포함(2024년)됐다.
또한 법령에 따라 평가 및 환류체계가 대폭 강화됐다. 우수기관·직원에겐 포상을, 미흡기관에 대해서는 개선권고 및 실태점검이 시행된다. 자료 미제출 또는 부실 제출 기관에 대해서는 과태료 부과 조항이 신설됐다.
각종 공공기관 평가에 개인정보 관련 내용 반영(가·감점 부여, 2023년~)
개인정보 유출 등 사건·사고 발생 시에는 보호수준 평가 등에 반영된다. 유출 등 사고 건당 최대 10점 감점(대응 조치에 따라 최대 50% 감경 가능), 시정권고·명령 및 공표, 과태료 등 행정처분 건당 최대 3점 감점, 기타 개인정보 관련 사건·사고 발생 시 최대 10점 감점된다. 또한 정부 업무평가 시에는 지자체 합동평가 등에 보호수준 평가 결과가 반영된다.
[김경애 기자(boan3@boannews.com)]
지난해 관계부처 합동 대책 수립, 올해 현장점검 강화 계획
[보안뉴스 김경애 기자] 공공부문은 대다수 국민의 개인정보를 대규모로 보유·처리하고 있다. 하지만 최근 AI·데이터 시대의 반작용으로 각종 보안사고가 증가하며 2차 피해 발생도 늘고 있다.한국장학재단(2023년 6월), 한국고용정보원(2023년 7월), 한국사회복지협의회(2024년 1월) 등에서 유출사고가 발생했으며, n번방 사건(동사무소 공익요원 통해 개인정보를 입수해 n번방 회원 협박), 송파·신당역 살인사건(개인정보 불법매매·지방공사 직원이 피해자 근무위치 불법 조회) 등도 개인정보 유출과 관련돼 있다.
[이미지 = gettyimagesbank]
이에 정부는 관계부처 합동으로 지난해부터 ①주요 공공시스템 선정(1,515개) 및 사전 실태점검(2023년~2025년 3개년) ②사고 발생 시 사후 제재 강화(과태료 → 과징금, 형사처벌 및 원스트라이크아웃 도입 등 제도개선) ③개인정보보호 강화를 위한 환경 조성(각종 업무평가에 개인정보 관련 내용 포함) 등의 대책을 수립해 시행하고 있다.
범부처 ‘집중관리시스템 개인정보 안전조치 강화계획’ 수립(2023년 4월), 9개 부처·2개 청이 참여한 ‘개인정보 정책협의회’ 개최(2023년 4월)가 그 예다.
특히, 올해는 변화된 정책 및 제도에 대한 지속적 계도와 함께 부처 합동 현장점검 등을 적극적으로 추진해 공공부문 개인정보 유·노출 사고의 사전 예방과 안전한 개인정보 관리에 더욱 만전을 기해나간다는 방침이다.
이와 관련 개인정보보호위원회는 모든 공공기관의 경우 개인정보 관련 사고 발생 시 제재 수위가 대폭 상향된 데다 각종 평가(정부·지자체 업무평가, 공공기관 경영평가 등)에 개인정보 관리실태 관련 사항이 반영된 만큼 보다 강화된 책임의식을 갖고 전담조직·인력을 갖춰 안전한 개인정보 관리에 최선을 다해줄 것을 요청했다.
1. 공공부문 개인정보 유출·침해 사고의 사전 예방을 위한 기반 마련
범부처 ‘집중관리시스템 개인정보 안전조치 강화계획’ 수립(2023년 4월)
그간의 공공부문 개인정보보호 강화 방안을 종합해 보면 주요 공공시스템 1,515개(126종)를 집중관리 대상으로 지정하고, △시스템 관리 체계 △접근권한 부여·관리 △접속기록 점검 △담당인력 및 시스템 확충 등 10대 과제를 부여했다. 지정기준은 개인정보 보유량, 취급자수 및 민감정보·주민등록번호 처리 여부 등이다.
강화계획에 따른 표준배포시스템 합동 전수점검(2024년 연중)
다음으로 표준배포시스템에 대해 사전 실태점검을 실시할 방침이다. 협의회 운영, 시스템별 책임자 지정 및 안전조치 등 통합 관리체계 구축, 기관별 개인정보 전담인력 배치 권고 및 시스템 기능 개선 등을 단계적으로 추진할 계획이다. 정보화 예산 낙찰차액을 활용할 수 있는 근거는 2023년 예산 집행지침에 이미 반영된 것으로 알려졌다.
강화계획 상의 10대 과제 법적 의무화
‘개인정보보호법 시행령’ 제30조의2(공공시스템 안전조치 특례), ‘개인정보의 안전성 확보조치 기준’ 제3장(제14조~제17조)에 따라 10대 과제 법적 의무화는 계도기간을 거쳐 오는 9월 본격 시행될 예정이다.
2. 공공부문의 개인정보 관리 미흡시 사후적 제재 대폭 강화
위법행위를 한 공공기관 : 과징금 부과(2023년 9월 이후 발생 사건)
보호법 개정 이후, 안전조치 의무 위반으로 개인정보가 유출된 경우 공공기관도 과징금 부과 대상이 되고, 과징금 상한도 크게 증액됐다. 개정법 시행 전의 경우 공공기관은 주민등록번호 유출 시에만 과징금 부과 대상이었으나, 이제는 위법행위가 적발된 경우도 과징금이 부과된다.
매출액이 없는 경우는 정액 과징금이 부과되고, 과징금 상한액은 기존 5억원에서 현행 20억원으로 4배 증액됐다.
일례로, 서울대학교병원의 경우 해킹으로 67.6만건의 개인정보가 유출돼 과징금 7,475만원, 과태료 660만원으로 공표된 바 있다.
위법행위를 한 개인정보취급자(공무원 및 임·직원 등) : 징계권고 및 형사처벌
개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우, 단 한 번이라도 바로 파면·해임(원스트라이크아웃)이 가능(2023년 1월~)하다.
이러한 사항은 ‘국가공무원 복무·징계 관련 예규’, ‘지방공무원징계업무 편람’에 반영됐다. 송파 살인사건의 경우 개인정보를 유출한 수원시 권선구 공무원에 대해 징계권고(2022년 6월)로 수원시는 해당 공무원을 파면했다.
개인정보 부정 이용 시에도 형사처벌이 가능(2023년 9월~)해졌다. 보호법 개정으로 불법적인 제3자 제공뿐만 아니라 부정 이용하는 경우에도 형사처벌(5년 이하의 징역 또는 5천만원 이하의 벌금)이 가능하다. 수험생 응시 정보를 부정 이용한 수능 감독관의 경우 징역 4월(집행유예 1년, 2020년 서울중앙지법)을 선고 받았다.
3. 공공부문이 개인정보 보호에 보다 우선순위를 두고 역량을 집중할 수 있는 환경 조성
공공기관 개인정보보호 수준 평가제 전면 도입(2024년~)
보호법 개정으로 종전 ‘관리수준 진단’에서 ‘보호수준 평가’로 한층 강화됐다. 이에 따라 평가대상 공공기관은 기존 800여 개에서 1,600여 개로 2배 증가했다. 중앙행정기관 등 800여개 포함(2023년), 소속기관 및 시‧도교육청 등 1,600여개가 포함(2024년)됐다.
또한 법령에 따라 평가 및 환류체계가 대폭 강화됐다. 우수기관·직원에겐 포상을, 미흡기관에 대해서는 개선권고 및 실태점검이 시행된다. 자료 미제출 또는 부실 제출 기관에 대해서는 과태료 부과 조항이 신설됐다.
각종 공공기관 평가에 개인정보 관련 내용 반영(가·감점 부여, 2023년~)
개인정보 유출 등 사건·사고 발생 시에는 보호수준 평가 등에 반영된다. 유출 등 사고 건당 최대 10점 감점(대응 조치에 따라 최대 50% 감경 가능), 시정권고·명령 및 공표, 과태료 등 행정처분 건당 최대 3점 감점, 기타 개인정보 관련 사건·사고 발생 시 최대 10점 감점된다. 또한 정부 업무평가 시에는 지자체 합동평가 등에 보호수준 평가 결과가 반영된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
