공무원 개인정보 유출 즉시 파면한다 [데이터링]


원스트라이크 아웃 적용 도입…무관용 원칙 준수

[아이뉴스24 박진영 기자] 개인정보를 고의로 유출하거나 부정 이용하는 공무원은 단 한번의 적발에도 파면 또는 해임된다.

아울러, 민감한 개인정보를 대규모로 처리하는 기관의 경우 3단계 안전조치의무가 부과된다. n번방 사건, 송파 가족 살인사건 등 공공기관 직원이 개인정보를 유출해 범죄로까지 이어지는 2차 피해가 잇따르자 정부가 공공부문 개인정보 관리 체계를 대폭 강화하면서 부터다.

최영진 개인정보보호위원회 부위원장이 지난 13일 오후 서울정부청사 합동브리핑룸에서 공공부문 개인정보 유출 방지대책에 대해 브리핑을 하고 있다. [사진=개인정보보호위원회]

개인정보보호위원회(위원장 윤종인)는 14일 한덕수 국무총리 주재로 개최된 제3회 국정현안점검조정회의에서 '공공부문 개인정보 유출 방지대책'을 보고했다.

◆공공기관 개인정보 유출 급증…공무원 '원스트라이크 아웃' 적용

국민의 개인정보를 고의 유출‧부정 이용 시 무관용 원칙에 따라 파면·해임하는 '원스트라이크 아웃 적용'을 도입한다. 비위 정도가 심각한 공무원의 경우 1회 위반에도 파면·해임 징계를 받아 공직에서 퇴출된다. 이는 내년도 공무원 징계안에 반영될 예정이다.

또 개인정보 취급자가 개인정보를 부정 이용할 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금을 부과하는 내용의 처벌 규정을 보호법에 신설하고, 공공기관 대상 과태료·과징금도 적극적으로 부과할 방침이다.

한편, 공공기관의 개인정보 유출 규모는 2017년 2개 기관 3만 6천건에서 2021년 21만 3천건으로 크게 증가했으나, 같은 기간 관련 중징계는 9건에서 0건으로 줄어들었다. 또 위반 행위에 대한 제재 수준은 낮고, 개인정보 보호를 위한 인력·예산·제도가 미흡하다.

최영진 개인정보위 부위원장은 전날 브리핑을 통해 "징계가 줄어든 이유는 고의로 인한 사건보단 기술적 해킹에 의한 유출이 많았기 때문"이라면서, "다만, 내부로부터 유출이 외부 해킹으로부터 유출과 비교했을 때 6:4의 비율이었다"고 설명했다.

◆공공 시스템 10% '집중관리 시스템' 선정…3단계 안전조치 의무화

공공부문 시스템 전체 1만6천199개 중 약 10%의 시스템을 '집중관리 시스템'으로 선정하고, 3단계 안전조치 의무를 부과한다. 집중관리 시스템은 개인정보 보유량, 민감성 및 유출 시 파급효과, 취급자수 등을 고려해 선정된다. 자동차관리시스템, 보육행정지원시스템, 코로나19대응시스템 등이 대상이다.

공공기관에서 접속기록 관리 시스템을 구축한 비율은 56%였고, 인사 이동시 15일을 초과하여 접근권한을 현행화하는 시스템은 43%에 달했다. 접속기록 수기 점검만 가능한 시스템도 약 15%로 조사됐다. 공공기관서 접속기록 점검이 형식적으로 이뤄지고 있는 것이다.

이에 접근권한 관리를 위해 취급자 계정 발급을 엄격히하고, 인사정보와 연동하고 미등록된 직원은 계정 발급을 원칙적으로 금지한다. 이용기관의 목적 외 시스템 이용을 통제하고, 취급자가 필요·최소한 정보에만 접근하도록 권한을 제한한다.

또한 접속기록 관리 시스템을 의무적으로 도입한다. 운영기관은 이용기관이 취급자의 접속기록을 조회할 수 있도록 하고, 비정상적 접근 시도를 탐지‧차단하는 기능을 구현해야 한다.

아울러 대규모 개인정보 또는 민감한 정보를 처리하는 경우, 사전 승인 또는 사후 소명을 해야하고, 개인정보 활용 시 정보주체인 국민에게도 처리 사실을 알려야 한다.

이러한 3단계 안전조치는 2024년까지 집중관리 시스템에 우선 도입된다. 2023년 말까지 '공공부문 개인정보 안전조치 기준' 규정을 제정해, 오는 2025년 전체 공공부문으로 확대·적용할 계획이다.

최영진 부위원장은 "접속관리 시스템 1대당 5천만원 정도로 예상된다. 시스템 고도화에 따라 폭이 넓어질 수 있지만, 10%의 주요 시스템으로 계산하면 대략 300억 정도가 필요할 것"이라면서, "각 부처별로 얼마나 필요한지 파악해 내년도 예산에 반영하도록 하겠다"고 밝혔다.

◆개인정보 사각지대 없도록…체계적 관리 위해 '시스템별 책임자' 지정

개인정보 유출의 사각지대를 없애기 위해 각 부처, 운영기관, 시스템별 책임자, 이용기관 등을 모두 포괄하는 통합적 개인정보 관리체계를 구축한다.

우선, 소관 부처와 시스템 운영·이용기관이 모두 참여하는 '개인정보 보호 협의회'를 설치·운영한다. 개별 시스템별로 보호 책임자를 지정해 개인정보 처리를 관리·감독하고, 시스템 단위 안전조치 방안도 수립하도록 했다.

개인정보 보호법 상에 수탁자에 대한 조사‧처분 규정을 마련하고, 이용기관도 소관 취급자 관리·감독 의무를 부과하는 등 이용기관의 책임과 역할을 구체화한다.

지자체의 책임 강화를 위해 표준 개인정보 보호 조례안을 제공하고, 지역별 정책 수립을 위해 시도 개인정보 관계기관 협의회 설치도 지원한다.

아울러 개인정보 보호 관련 예산은 물론, 관련 전담 인력을 확충 배치할 방침이다.

보호법상 인력 배치 근거를 마련해 집중관리 시스템 운영기관에 적정 인력 배치를 권고할 방침이다. 또 정보화 예산 낙찰차액을 개인정보 보호 강화에도 활용할 있게 하는 방안을 검토한다.

개인정보위는 부처 간 정기적인 협의체를 구성하여 대책의 실효성을 확보하고, 정책을 일관적으로 추진할 계획이다.

윤종인 개인정보위 위원장은 "이번 대책은 공공부문 개인정보 유출 근절을 위한 정부의 강력한 의지를 국민께 약속드리는 것"이라면서, "공공부문의 개인정보 유출로 국민이 고통받는 경우가 다시는 발생하지 않도록 철저하게 점검·관리하겠다"고 강조했다.

/박진영 기자(sunlight@inews24.com)







포토뉴스