공공부문 주요 시스템 개인정보 안전조치 강화
고의 유출로 중대한 사생활 침해 시 파면·해임
3단계 강화 안전조치 적용… 단계적 확대 예정
[천지일보=손지하 기자] 수원시가 흥신소에 시민 개인정보를 팔아넘겨 ‘송파 신변보호 가족 살인사건’의 빌미를 제공한 것으로 드러났던 걸 계기로 이를 예방하기 위해 개인정보보호위원회(개인정보위)가 공공부문 주요 시스템의 개인정보 안전조치를 강화한다.
앞으로 민감한 개인정보를 대규모로 처리하는 기관의 경우 3단계 안전조치 의무가 부과된다. 아울러 개인정보를 고의로 유출하거나 부정 이용하는 공무원은 단 한 번만 적발되더라도 파면 혹은 해임된다.
개인정보위는 14일 한덕수 국무총리 주재로 개최된 제3회 국정현안점검조정회의에서 이 같은 내용이 담긴 ‘공공부문 개인정보 유출 방지대책’을 보고했다.
이번 대책은 공공부문 개인정보 유출 근절을 목표로 ▲취급자에 대한 처벌 강화 ▲공공부문 개인정보처리시스템 보호 강화 ▲사각지대 없는 보호 관리체계 구축 ▲공공부문 개인정보 보호 기반 구축 등을 핵심 내용으로 담고 있다.
공공부문 개인정보 관리는 위법 사항 적발이 어려운데다 보호 인식도 부족하고 접근 권한 관리도 소홀한 측면이 있었다. 또한 수많은 개인정보 취급 주체로 유출 책임을 누구에게 물어야 할지도 모호했고 관련 예산과 인력이 미흡한 부분도 있었다.
이에 개인정보위는 국민의 개인정보를 고의 유출·부정 이용 시 무관용 원칙에 따라 파면·해임하는 원스트라이크 아웃 적용 등 제재를 강화한다. 비위 정도가 심각한 공무원의 경우 1회 위반에도 파면·해임 징계를 받아 공직에서 퇴출당한다.
개인정보 취급자가 개인정보를 부정 이용할 경우 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과하는 내용의 처벌 규정을 보호법에 신설하고 공공기관 대상 과태료·과징금도 더욱 적극적으로 부과할 계획이다. 아울러 법 위반 단속 강화를 위해 개인정보위 주관으로 집중관리 개인정보처리시스템 대상 기획 점검을 연내 실시한다.
개인정보 보유량, 민감성 및 유출 시 파급효과, 취급자수 등을 기준으로 공공부문 시스템 1만 6199개 중 약 10%의 시스템을 집중관리 시스템으로 선정해 ‘3단계 안전조치’ 의무도 부과한다.
첫째, 접근권한 관리를 위해 취급자 계정 발급을 엄격화해 인사 정보와 연동하고 미등록된 직원은 계정 발급을 원칙적으로 금지한다. 이를 통해 이용기관의 목적 외 시스템 이용을 통제하고 취급자가 필요·최소한 정보에만 접근하도록 권한을 제한한다.
둘째, 접속기록 관리 시스템을 의무적으로 도입한다. 운영기관은 이용기관이 취급자의 접속기록을 조회할 수 있도록 하고 비정상적 접근 시도를 탐지·차단하는 기능을 구현해야 한다.
셋째, 대규모 개인정보 또는 민감한 정보를 처리하는 경우 사전 승인 또는 사후 소명하도록 하고 개인정보 활용 시 정보 주체인 국민에게도 처리 사실을 알려야 한다.
이 같은 조치는 집중관리 시스템부터 오는 2024년까지 우선 도입하고 2025년까지 단계적으로 의무화해 전체 공공부문으로 확대할 계획이다.
소관 부처 및 시스템 운영·이용기관이 모두 참여하는 개인정보 보호 협의회도 설치해 운영하도록 했다. 또 개별 시스템별로 보호 책임자를 지정해 개인정보 처리를 관리·감독하고 시스템 단위 안전조치 방안도 수립하도록 했다.
개인정보 보호 법령에 수탁자에 대한 조사·처분 규정을 신설하고 이용기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보처리자로 처분하고 취급자 교육 및 관리‧감독 책임을 강화한다.
지자체의 책임 강화를 위해 표준 개인정보 보호 조례안을 제공하고 지역별 정책 수립을 위해 시도 개인정보 관계기관 협의회 설치를 지원한다. 개인정보 보호 법령에 인력 배치 근거를 마련해 집중관리 시스템 운영기관에 적정 인력 배치를 권고하고 각 기관은 3단계 안전조치의무를 위한 필수 시스템도 단계적으로 확충한다.
윤종인 개인정보위 위원장은 “이번 대책은 공공부문 개인정보 유출 근절을 위한 정부의 강력한 의지를 국민께 약속드리는 것”이라며 “공공부문의 개인정보 유출로 국민이 고통받는 경우가 다시는 발생하지 않도록 철저하게 점검·관리하겠다”고 말했다.