매서워지는 개인정보 보호 규제…공공기관은 '순한 맛'?(종합)이 뉴스 공유하기본문 글자 크기 조정
(서울=연합뉴스) 이상서 기자 = 75억400만원.
지난 8일 개인정보보호위원회가 관리 소홀로 221만여명의 이름과 전화번호 등을 유출한 '골프존'에 물린 과징금 액수다.
지난해 LG유플러스에 부과된 68억원을 뛰어넘는 역대 국내기업 최대 과징금이다.
기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월 시행된 개인정보보호법 개정안이 처음으로 적용됐기 때문이다.
이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 했지만, 개정된 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈이다.
개인정보 유출에 대한 정부 제재가 매서워진 만큼 향후 이를 넘어서는 과징금이 부과될 가능성도 충분하다.
13일 정보보호학계와 관련 업계에서는 이처럼 민간기업에 대한 처벌 수위는 강화되고 있지만, 공공기관에 대한 제재는 여전히 무디다는 지적이 나오고 있다.
최근 법원 내부 전산망에서 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐고, 전 국민을 대상으로 서비스하는 '정부24'에서도 개인정보가 유출되는 등 관련 사고가 잇따르지만, 지워지는 책임의 무게는 국민 눈높이에 맞지 않다는 것이다.
더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천건에서 지난해 8월 기준 339만8천건으로 크게 늘었다.
같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다.
공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다.
하지만 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업(1억원)의 7%에 불과했다.
매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원으로 못 박았기 때문이다.
공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 민간기업에 비해 턱없이 떨어진다는 지적도 있다.
개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다.
이곳에서 일하는 CPO는 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하고, 상근해야 한다.
이와 달리 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다.
지난달 1천200여건의 개인정보가 유출된 '정부24'를 포함해 행정안전부의 개인정보를 담당하는 CPO도 관련 분야와 사실상 무관한 경력을 갖춘 인물로 알려졌다.
이 관계자는 "지난해 10월 정책기획관이 되면서 CPO를 자동으로 맡게 됐다"며 "다른 부처들도 CPO를 당연직으로 임명하고 있다"고 말했다.
과거에 개인정보를 유출해 개인정보위로부터 과징금을 부과받은 한 기업의 고위 관계자는 "민간 기업은 개인정보 중요성이 커지는 것을 인식하고 다양한 투자를 하고 있다"며 "전 국민을 상대로 하는 공공기관도 과감한 투자를 벌이고, 인식을 개선할 필요가 있다"고 지적했다.
김승주 고려대 정보보호대학원 교수는 "개인정보 유출 사고가 벌어질 때 공공기관은 담당자에 대한 처벌이나 사과하는 모습을 보기 힘들다"며 "이는 결국 개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'를 둘 의무가 공공기관에 없기 때문"이라고 말했다.
정보통신망법에 따르면 일정 규모 이상의 정보통신서비스 업체는 사업주나 대표자 등을 CISO로 지정해야 한다.
2021년 1월 민주당 이해식 의원이 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법' 개정안을 발의했으나, 국회에 계류 중이다.
이에 개인정보위는 이날 설명자료를 내고 "공공부문의 개인정보 보호 강화 대책을 세우고, 공공기관 개인정보 관리 수준 평가를 강화하는 등 다양한 대책을 추진하고 있다"며 "위법행위를 한 공공기관과 공무원에 대한 처벌도 강화했다"고 밝혔다.
그러면서 "향후 대규모 민감정보를 처리하는 공공부문에 더욱 강화된 안전조치 의무를 부여할 계획"이라며 "중장기적으로는 기관별 개인정보 전담 인력을 배치하도록 권고하고, 시스템 기능 개선도 단계적으로 추진하겠다"고 강조했다.
shlamazel
면책 조항: 이 글의 저작권은 원저작자에게 있습니다. 이 기사의 재게시 목적은 정보 전달에 있으며, 어떠한 투자 조언도 포함되지 않습니다. 만약 침해 행위가 있을 경우, 즉시 연락해 주시기 바랍니다. 수정 또는 삭제 조치를 취하겠습니다. 감사합니다.