대규모 대민 서비스 제공하는 핵심 공공기관 다수가 보호수준 평가 최하위권에 머물러
국민 접점이 넓은 만큼 단 한 번의 취약점 노출이 대규모 프라이버시 침해로 직결될 우려
[보안뉴스= 배종찬 인사이트케이 연구소장] 개인정보보호위원회가 최근 ‘2025년 공공기관 개인정보 보호수준 평가 결과’를 발표한 것은 우리 사회에 던지는 일종의 경고장이다. 중앙부처와 지방자치단체, 공기업 등 전국 1,442개 공공기관을 대상으로 실시한 이번 평가에서 전체 평균 점수는 76.5점에 그쳤다. 최고 등급인 S등급 기관은 54곳에 불과한 반면, 최하위 D등급 기관은 51곳에 달했다.
[출처: gettyimagesbank]
공공부문의 개인정보 보호 역량이 기관마다 극단적으로 갈리고 있다. 우수한 성적을 받은 기관들은 비교적 명확하다. 한국수력원자력, 건강보험심사평가원, 보건복지부, 기후에너지환경부 등은 최고 등급인 S등급을 받았다.
이들 기관은 대규모 개인정보를 다루면서도 관리체계, 내부 통제, 기술적 보호조치, 사고 대응 시스템을 비교적 안정적으로 운영한 것으로 평가된다. 특히 건강보험심사평가원이나 보건복지부처럼 개인정보가 많은 기관일수록 위험도 크지만, 동시에 관리 의지가 강하면 높은 수준의 보호도 가능하다는 사실을 보여주고 있다.
반면 낮은 평가를 받은 기관들을 살펴보니 너무 의외여서 충격으로 다가왔다. 소방청, 우주항공청, 서울주택도시개발공사(SH공사), EBS 등이 최하위 D등급에 포함됐기 때문이다. 국민 안전, 미래 산업, 주거 행정, 공공교육 등 핵심 기능을 담당하는 기관들이 개인정보 관리에서는 낙제점을 받은 셈이다.
국민과 접점이 많은 기관들이 낮은 평가를 받았다는 점은 단순 행정 차원의 문제가 아니라 국민 신뢰와 직결된다는 점에서 문제가 더욱 심각하다.
▲공공기관 개인정보에 대한 빅데이터 감성 연관어 [출처: 인사이트케이]
왜 이런 차이가 발생할까. 근본 원인은 세 가지다. 첫째, 기관장의 인식 차이다. 개인정보 보호는 단순히 전산부서의 업무가 아니다. 최고 책임자가 이를 조직의 핵심 리스크로 보느냐, 아니면 형식적 규제로 보느냐에 따라 결과가 달라진다. 우수 기관은 최고경영진이 직접 보고받고 예산과 인력을 투입한다. 반면 미흡 기관은 담당자 몇 명에게 책임을 떠넘긴다.
둘째, 전문 인력과 예산 격차다. 공기업·준정부기관 평균 점수는 87.5점으로 가장 높았지만, 기초자치단체 평균은 73.2점으로 가장 낮았다. 이는 규모의 경제를 보여준다. 큰 기관은 보안 인력, 시스템, 컨설팅, 교육 투자가 가능하지만 작은 지자체는 예산도 인력도 부족하다. 결국 개인정보 보호가 지역별·기관별로 불평등하게 운영되고 있다는 사실이다.
셋째, 보여주기식 점검 문화다. 자체평가 이행률은 평균 90%에 달했지만, 심층평가에서는 ‘안전성 확보조치 노력’ 항목이 가장 낮은 점수를 받았다. 서류상 체크리스트는 채웠지만 실제 운영은 허술하다는 것과 마찬가지다. 즉 문서는 완벽한데 현장은 비어 있는 전형적인 관료주의적 병폐라고 할만하다.
▲배종찬 연구소장 [출처: 인사이트케이]
썸트렌드(SomeTrend)의 빅데이터 연관어 분석(2026년 3월 27일~4월 26일) 역시 이러한 현실을 그대로 드러낸다. 핵심어인 ‘공공기관 개인정보’ 주변에 등장한 단어들은 ‘개인정보 유출’, ‘해킹’, ‘사고예방’, ‘보안’, ‘패널티’, ‘위원회’, ‘내부’, ‘직원’, ‘대응’, ‘강화’ 등이다. 이는 국민들이 공공기관 개인정보 문제를 바라볼 때 가장 먼저 떠올리는 이미지가 편의나 신뢰가 아니라 유출, 사고, 해킹, 처벌이라는 점을 보여준다.
특히 ‘내부’, ‘직원’이라는 단어가 함께 등장한 점은 주목할 필요가 있다. 개인정보 사고는 외부 해커만의 문제가 아니다. 내부 직원의 부주의, 무단 열람, 권한 남용, 퇴직자 계정 미삭제, 협력업체 관리 부실 등 내부 통제가 더 큰 구멍일 수 있다. 실제로 많은 유출 사고는 시스템 붕괴보다 사람의 작은 실수에서 비롯되는 경우가 허다하다.
또 ‘패널티’, ‘평가’, ‘등급’, ‘조치’라는 단어는 공공기관들이 아직 자율적 보호 문화보다 평가 대응 중심으로 움직이고 있음을 시사한다. 공공기관 개인정보 보호의 본질은 기술이 아니라 책임이다. 숫자는 발표로 끝나지만, 유출 사고의 피해는 국민 삶 속에 오래 남는다. 지금 필요한 것은 점수 관리가 아니라 신뢰 관리다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치 시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
국민 접점이 넓은 만큼 단 한 번의 취약점 노출이 대규모 프라이버시 침해로 직결될 우려
[보안뉴스= 배종찬 인사이트케이 연구소장] 개인정보보호위원회가 최근 ‘2025년 공공기관 개인정보 보호수준 평가 결과’를 발표한 것은 우리 사회에 던지는 일종의 경고장이다. 중앙부처와 지방자치단체, 공기업 등 전국 1,442개 공공기관을 대상으로 실시한 이번 평가에서 전체 평균 점수는 76.5점에 그쳤다. 최고 등급인 S등급 기관은 54곳에 불과한 반면, 최하위 D등급 기관은 51곳에 달했다.
[출처: gettyimagesbank]
공공부문의 개인정보 보호 역량이 기관마다 극단적으로 갈리고 있다. 우수한 성적을 받은 기관들은 비교적 명확하다. 한국수력원자력, 건강보험심사평가원, 보건복지부, 기후에너지환경부 등은 최고 등급인 S등급을 받았다.
이들 기관은 대규모 개인정보를 다루면서도 관리체계, 내부 통제, 기술적 보호조치, 사고 대응 시스템을 비교적 안정적으로 운영한 것으로 평가된다. 특히 건강보험심사평가원이나 보건복지부처럼 개인정보가 많은 기관일수록 위험도 크지만, 동시에 관리 의지가 강하면 높은 수준의 보호도 가능하다는 사실을 보여주고 있다.
반면 낮은 평가를 받은 기관들을 살펴보니 너무 의외여서 충격으로 다가왔다. 소방청, 우주항공청, 서울주택도시개발공사(SH공사), EBS 등이 최하위 D등급에 포함됐기 때문이다. 국민 안전, 미래 산업, 주거 행정, 공공교육 등 핵심 기능을 담당하는 기관들이 개인정보 관리에서는 낙제점을 받은 셈이다.
국민과 접점이 많은 기관들이 낮은 평가를 받았다는 점은 단순 행정 차원의 문제가 아니라 국민 신뢰와 직결된다는 점에서 문제가 더욱 심각하다.
▲공공기관 개인정보에 대한 빅데이터 감성 연관어 [출처: 인사이트케이]
왜 이런 차이가 발생할까. 근본 원인은 세 가지다. 첫째, 기관장의 인식 차이다. 개인정보 보호는 단순히 전산부서의 업무가 아니다. 최고 책임자가 이를 조직의 핵심 리스크로 보느냐, 아니면 형식적 규제로 보느냐에 따라 결과가 달라진다. 우수 기관은 최고경영진이 직접 보고받고 예산과 인력을 투입한다. 반면 미흡 기관은 담당자 몇 명에게 책임을 떠넘긴다.
둘째, 전문 인력과 예산 격차다. 공기업·준정부기관 평균 점수는 87.5점으로 가장 높았지만, 기초자치단체 평균은 73.2점으로 가장 낮았다. 이는 규모의 경제를 보여준다. 큰 기관은 보안 인력, 시스템, 컨설팅, 교육 투자가 가능하지만 작은 지자체는 예산도 인력도 부족하다. 결국 개인정보 보호가 지역별·기관별로 불평등하게 운영되고 있다는 사실이다.
셋째, 보여주기식 점검 문화다. 자체평가 이행률은 평균 90%에 달했지만, 심층평가에서는 ‘안전성 확보조치 노력’ 항목이 가장 낮은 점수를 받았다. 서류상 체크리스트는 채웠지만 실제 운영은 허술하다는 것과 마찬가지다. 즉 문서는 완벽한데 현장은 비어 있는 전형적인 관료주의적 병폐라고 할만하다.
▲배종찬 연구소장 [출처: 인사이트케이]
썸트렌드(SomeTrend)의 빅데이터 연관어 분석(2026년 3월 27일~4월 26일) 역시 이러한 현실을 그대로 드러낸다. 핵심어인 ‘공공기관 개인정보’ 주변에 등장한 단어들은 ‘개인정보 유출’, ‘해킹’, ‘사고예방’, ‘보안’, ‘패널티’, ‘위원회’, ‘내부’, ‘직원’, ‘대응’, ‘강화’ 등이다. 이는 국민들이 공공기관 개인정보 문제를 바라볼 때 가장 먼저 떠올리는 이미지가 편의나 신뢰가 아니라 유출, 사고, 해킹, 처벌이라는 점을 보여준다.
특히 ‘내부’, ‘직원’이라는 단어가 함께 등장한 점은 주목할 필요가 있다. 개인정보 사고는 외부 해커만의 문제가 아니다. 내부 직원의 부주의, 무단 열람, 권한 남용, 퇴직자 계정 미삭제, 협력업체 관리 부실 등 내부 통제가 더 큰 구멍일 수 있다. 실제로 많은 유출 사고는 시스템 붕괴보다 사람의 작은 실수에서 비롯되는 경우가 허다하다.
또 ‘패널티’, ‘평가’, ‘등급’, ‘조치’라는 단어는 공공기관들이 아직 자율적 보호 문화보다 평가 대응 중심으로 움직이고 있음을 시사한다. 공공기관 개인정보 보호의 본질은 기술이 아니라 책임이다. 숫자는 발표로 끝나지만, 유출 사고의 피해는 국민 삶 속에 오래 남는다. 지금 필요한 것은 점수 관리가 아니라 신뢰 관리다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치 시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
