개인정보 고의 유출시 곧바로 공직퇴출…'원스트라이크 아웃' 시행

등록 2022.07.14 12:00:00

개인정보위, 개인정보 유출 처벌수위 대폭 강화한 공공부문 개인정보 유출방지책 발표

이석준 사건·N번방 사건 등 개인정보 유출로 발생한 범죄에 후속 조치

개인정보보호법에 5년 이하 징역·5000만 원 이하 벌금 규정 신설 추진

정부 24 등 집중관리 대상 시스템 선정해 3단계 안전조치 의무 부과

개인정보위원회는 14일 정부서울청사에서 한덕수 국무총리 주재로 개최된 제3회 국정현안점검조정회의에서 공공부문 개인정보 유출 방지대책을 발표했다. 최영진 개인정보보호위원회 부위원장이 전날 오후 서울정부청사 합동브리핑룸에서 공공부문 개인정보 유출 방지대책에 대해 브리핑을 하고 있다. (사진=개인정보보호위원회) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 앞으로 공무원이 개인정보를 단 한 번이라도 고의로 유출하거나 부정 이용할 경우 파면·해임되는 원스트라이크 아웃 처분을 받게 된다. 지난해 12월 공무원이 흥신소에 넘겨준 개인정보로 집을 알아낸 뒤 옛 여자친구 가족들을 살해한 이석준 사건, 사회복무요원(공익근무요원)이 빼낸 개인정보가 악용된 된 N번방 사건 등 공공부문에서 개인정보 유출이 잇따라 발생한 데 따른 대응조치다.

개인정보위원회는 14일 정부서울청사에서 한덕수 국무총리 주재로 개최된 제3회 국정현안점검조정회의에서 이 같은 내용의 공공부문 개인정보 유출 방지대책을 보고했다.

공무원 개인정보 유출시 무관용 원칙…파면·해임 원스트라이크 아웃제 도입

이번 대책에서 가장 눈에 띄는 부분은 공공부문의 개인정보 유출에 대한 처벌수위 강화다. 먼저 공무원이 개인정보를 고의 유출·부정 이용 시 원스트라이크 아웃을 적용한다. 이에 따라 비위 정도가 심각한 공무원은 1회 위반에도 파면·해임 징계를 받아 공직에서 퇴출한다.

일부 공공기관의 경우 자체적으로 원스라이크 아웃 제도를 운영하고 있는 점을 고려해 이번 적용대상에서 빠졌다. 개인정보위원회 관계자는 “국민건강보험 공단 등은 이미 개인정보 유출과 관련해 원스트라이크 아웃 제도를 운영 중”이라며 “미도입 공공기관에는 제도 도입을 권고할 계획”이라고 말했다.

개인정보위는 또 개인정보 취급자가 개인정보를 부정 이용할 경우 5년 이하의 징역 또는 5000만 원 이하의 벌금을 부과하는 내용의 처벌 규정을 개인정보보호법에 신설한다. 또 공공기관 대상 과태료·과징금도 더욱 적극적으로 부과할 계획이다. 이어 법 위반 단속 강화를 위해 개인정보위 주관으로 집중관리 개인정보처리시스템 대상 기획 점검을 연내 실시한다.

개인정보위가 이번에 처벌 수위를 손본 이유는 공공부문에서 개인정보 유출은 증가했으나 징계는 갈수록 약해진다는 지적을 받아왔기 때문이다. 개인정보위에 따르면 2017년 2개 기관에서 3만6000건이었던 개인정보 유출은 지난해 기준 22개기관에서 21만 3000건으로 급증했다. 하지만 파면, 해임, 강등, 정직 등 중징계는 2017년 9건에서 2020년 2건으로 되레 줄었다.

개인정보 보유량 등 고려해 집중관리 대상 시스템 선정

또 개인정보위는 개인정보 보유량, 민감성 및 유출시 파급효과, 취급자수 등을 고려해 집중관리 대상 시스템을 선정한다. 개인정보위에 따르면 정부24, 주민등록, 국민신문고, 자동차관리, 1365자원봉사포털 등이 여기에 해당한다. 개인정보위는 공공부문 시스템 1만6199개 중 약 10%를 집중관리 시스템으로 선정한다는 계획이다. 집중관리 대상 시스템에 선정되면 3단계 안전조치 의무를 부과한다.

3단계 안전조치는 ▲접근권한 관리를 위해 취급자 계정 발급을 엄격화해 인사정보와 연동하고 미등록된 직원은 계정 발급을 원칙적으로 금지하고 ▲접속기록 관리 시스템 의무 도입 ▲대규모 개인정보 또는 민감한 정보를 처리하는 경우 사전 승인 또는 사후 소명하고, 개인정보 활용 시 당사자에게 공지하는 내용이다.

개인정보위는 3단계 안전조치를 오는 2024년까지 집중관리 시스템부터 우선 도입하고, 단계적 의무화를 통해 2025년까지 전체 공공부문으로 확대할 계획이다.

개인정보 처리에 대한 책임과 역할도 명확해진다. 개인정보위에 따르면 개인정보 처리시스템 이용기관에서 소속 취급자에 대한 접속기록을 직접 점검하는 비율은 1%에 불과하다. 개인정보위는 시스템별로 보호 책임자를 지정해 개인정보 처리를 관리·감독하고, 시스템 단위 안전조치 방안도 수립하도록 했다.

또 개인정보 보호 법령에 수탁자에 대한 조사·처분 규정을 신설하고, 이용기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보처리자로 처분하고 취급자 교육 및 관리·감독 책임을 강화한다.

아울러 전국 243개 지자체 중 개인정보 보호 조례가 있는 지자체 23개(9%)에 불과하다는 점을 고려해 지자체의 책임 강화를 위해 표준 개인정보 보호 조례안을 제공한다. 지역별 정책 수립을 위해 시도 개인정보 관계기관 협의회 설치도 지원한다.

정보화 예산, 개인정보 강화에 활용토록 검토

개인정보위에 따르면 공공부문 개인정보 보호 예산은 1000만원 미만이 60.1%나 된다. 또 개인정보 전담 부서가 있는 기관 3.8%, 전담 인원은 평균 0.5명에 불과하다.

이에 개인정보위는 개인정보 보호 법령에 인력 배치 근거를 마련해 집중관리 시스템 운영기관에 적정 인력 배치를 권고하고, 각 기관은 3단계 안전조치의무를 위한 필수 시스템을 단계적으로 확충하기로 했다.

개인정보위는 정보화 예산 낙찰차액을 개인정보 보호 강화에도 활용할 수 있게 하는 방안도 검토한다.

또 개인정보위가 유출에 대한 신속 대응과 함께 수준 진단 및 영향평가 결과에 대한 개선 권고 등을 하는 등 공공부문에 대한 점검·관리를 강화한다.

윤종인 개인정보위 위원장은 “이번 대책은 공공부문 개인정보 유출 근절을 위한 정부의 강력한 의지를 국민께 약속드리는 것”이라며 “공공부문의 개인정보 유출로 국민이 고통받는 경우가 다시는 발생하지 않도록 철저하게 점검·관리할 것”이라고 말했다.

◎공감언론 뉴시스 [email protected]