2022년 신당역 역무원 살인 사건은 가해자가 직위해제 되었음에도 내부망에 접근해 피해자 근무 장소를 알아낼 수 있었기에 가능했다. 2021년엔 수원시 공무원이 자동차 관리 시스템에 접속해 얻은 주소를 흥신소에 넘겨, 이 정보가 살인 사건에 악용되는 일도 있었다.

이처럼 국민들의 민감 정보를 대규모로 관리하는 정부 기관이 개인정보 관리를 소홀히 해 큰 피해로 이어지는 일이 적지 않다.


▲장웅태 KISA 선임 [자료: 보안뉴스]
장웅태 한국인터넷진흥원(KISA) 선임연구원은 27일 서울 코엑스에서 열린 PIS페어 2025에서 ‘공공 집중관리시스템의 강화된 안전성 확보 조치’란 주제로 발표하며 “공공 기관에서 개인정보 관리 소홀로 불행한 사건으로 이어진 사례들이 있었다”며 “국민 개인정보 보호를 위한 체계적, 기술적 개선 노력이 필요하다”고 말했다.

2024년 발생한 개인정보 유출 신고 307건 중 ‘업무 과실’이 원인인 경우가 전체의 30%인 91건에 달했다. 특히 공공 부문 유출 사고에선 ‘업무 과실’이 원인인 사고가 51건으로 ‘해킹’(36건)보다 더 많았다. 개인정보가 담긴 첨부파일을 공개된 사이트에 올리거나, 이메일 수신자를 잘못 지정하는 등의 실수가 가장 흔했다.

정부가 공공부문 집중관리시스템 안전조치 강화계획을 발표한 이유다. 개인정보 보유량과 취급자 수, 민감정보 처리 여부 등을 기준으로 1515개의 집중관리 시스템을 선정하고 안전조치를 강화해 공공 부문 개인정보 유출을 막는다는 목표다.


▲개인정보 유출 원인 [자료: KISA]

통합 관리체계를 구축해 책임과 권한을 명확하게 하고, 접속기록을 점검하는 등 기술적 안전 대책을 강화했다. 접근권한을 철저히 관리하고, 적정 인력 및 시스템 확충에도 나섰다.

이에 따라 집중관리 시스템을 운영하는 기관은 개인정보보호협의회를 설치하고 시스템마다 개인정보보호 책임자를 지정해야 한다.

또 접근 권한은 인사정보와 연계해 업무 분장에 맞게 최소한으로 부여해야 한다. 접속기록을 점검하고 이상행위를 탐지하는 기능 도입도 의무다. 접속 기록은 2년 이상 안전하게 보관 및 관리해야 한다.

각 기관은 상황에 맞게 개인정보 전담인력을 운용해야 하며, 시스템도 이 같은 강화된 조치들을 실행할 수 있도록 개선해야 한다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>