"공공기관 업무 과실 따른 정보 유출, 민간 대비 3배"(종합)

등록 2026.01.13 17:28:01수정 2026.01.13 18:22:24

지난해 공공기관 유출 사고 원인 56%가 '업무 과실'…민간 대비 3배

의료·복지 등 775억건 민감정보 처리…기관장 책임·CPO 권한 강화 추진

현장은 인력·예산 부족 호소…송경희 개인정보위원장 "관계 부처 협의해 보완"

[서울=뉴시스] 송경희 개인정보보호위원회 위원장이 13일 오후 서울 광진구 사회보장정보원에서 열린 공공 분야 개인정보 보호 현장 간담회에서 인사말씀을 하고 있다. 2026.01.13. (사진=개인정보보호위원회 제공)

[서울=뉴시스]윤정민 기자 = 개인정보보호위원회가 대규모 개인정보 유출 사고를 막기 위한 첫 현장 점검지로 공공기관을 찾았다. 쿠팡 등 민간 기업이 아닌 공공기관을 택한 이유는 공공 영역이 민간보다 훨씬 많은 양의 개인정보를 가지고 있기 때문이다. 또 다수 기관과 함께 활용하고 있어 유출 시 파급력이 크다는 점도 있다. 송경희 개인정보위원장은 "민감한 개인정보를 수집하는 공공기관도 유출 사고의 예외가 될 수 없다"며 공공기관에 책임 강화를 당부했다.

개인정보위는 13일 오후 서울 광진구 사회보장정보원에서 공공 분야 개인정보 보호 현장 간담회를 열었다.

지난해 대규모 개인정보 유출 사고가 이어지자 개인정보위는 올해를 '보안사고 사전예방 체계 전환 원년'으로 선포했다. 그 일환으로 현장 점검을 확대할 계획을 전했는데 첫 행선지가 사회보장정보원이었다.

사회보장정보원은 행복이음, 복지로 등 사회복지, 의료 서비스 관련 국민 개인정보를 관리하는 공공시스템을 운영한다. 송 위원장은 공공시스템 장애 예방, 민간 의료 기관 사이버 보안 등을 상시 모니터링하는 워룸을 찾아 시스템 접근 권한과 접속 기록 관리 등을 점검했다.

"공공기관도 사이버 침해사고 안전지대 아니다"

[서울=뉴시스] 송경희 개인정보보호위원회 위원장이 13일 오후 서울 광진구 사회보장정보원 개인정보 관제센터에서 개인정보 보호 현황을 보고 받고 있다. 2026.01.13. (사진=개인정보보호위원회 제공)

개인정보위가 공공기관을 먼저 점검한 이유는 민간과 달리 내부 직원의 사소한 부주의가 대형 사고로 이어지는 비중이 상대적으로 높기 때문이다.

개인정보위에 따르면 지난해 1월부터 11월까지 공공기관 개인정보 유출 111건 중 59%가 업무 과실로 발생했다. 이는 민간 사고(18%)와 비교해 약 3배 이상 높은 수치다.

또 지난해 공공 분야 유출 신고 건수는 2020년 이후 5년 만에 10배 이상 증가했다. 현재 공공 분야는 약 1만2000개의 시스템을 통해 국민 개인정보 약 775억건을 처리하고 있다.

특히 의료·복지 관련 기관은 진료 기록, 질병·장애 정보, 소득·수급 정보 등 고위험 민감정보를 다수 보유하고 있다. 이러한 정보가 유출되면 특정 개인에 대한 낙인과 차별 등 사회적 피해로 이어질 수 있다.

송 위원장은 "내부 직원의 사소한 실수로 벌어진 작은 불씨가 자칫 대형 산불과 같은 재난으로 번질 위험이 크다"며 현장의 사소한 부주의나 무관심이 돌이킬 수 없는 대규모 유출 사고의 시발점이 될 수 있다고 경고했다.

이어 "공공기관이 솔선수범해 개인정보 유출에 대한 경각심을 가져야 한다. 개인정보 보호에 대한 선제적 투자를 촉진해 개인정보보호 체계가 실질적으로 작동하는 구조로 전환할 필요가 있다"고 말했다.

기관장 책임·개인정보보호책임자 권한 강화로 관리 체계 전환

개인정보위는 개인정보 보호법 개정을 통해 기관장·최고경영자(CEO)와 개인정보보호책임자(CPO) 중심의 전사적 개인정보 관리 체계를 구축할 방침이다. 기관장의 개인정보 보호 관리 책임을 법에 명시하고, 대규모 개인정보 처리 기관을 대상으로 CPO 지정 신고제를 도입할 계획이다.

선제적 보호 투자와 예방 조치를 이행한 기관에는 제재를 완화하는 인센티브도 병행할 계획이다. 이를 위해 개인정보 분야의 물적·인적 투자 기준을 구체화하고 공공기관별로 시급히 확충이 필요한 전담 조직·인력·예산 현황을 점검해 관계 부처와 협의를 진행할 예정이다.

또 주요 공공 시스템을 대상으로 취약점 점검과 외부 노출 자산 관리를 강화할 방침이다. 공공기관 개인정보 보호 수준 평가는 기존보다 등급을 세분화해 '매우 미흡' 단계를 신설하고 유출 사고 발생 시 감점 폭을 확대한다.

정보보호·개인정보보호 관리체계(ISMS-P) 인증 제도도 손질해 일부 공공 시스템에 의무화를 추진하고 위반 시 인증 취소 등 사후 관리와 퇴출 장치를 강화할 방침이다.

"임상 전문의가 하루아침에 개인정보보호책임자"…인력 부족 애로 이어져

[서울=뉴시스] 윤정민 기자 = 개인정보보호위원회가 13일 오후 서울 광진구 한국사회보장정보원에서 공공분야 개인정보 보호 현장 간담회를 열었다. 2026.01.13. alpaca@newsis.com

[서울=뉴시스] 윤정민 기자 = 개인정보보호위원회가 13일 오후 서울 광진구 한국사회보장정보원에서 공공분야 개인정보 보호 현장 간담회를 열었다. 2026.01.13. [email protected]

이와 관련해 이날 간담회에서는 공공기관 CPO들의 애로사항이 공유됐다. 이들은 개인정보 보호 필요성에 공감했지만 현장 인력·예산 부족과 CPO의 책임 중압감 등을 토로했다.

국립중앙의료원의 경우 별도 인력 증원 없이 정보보호팀이 신설되면서 진단검사의학과 전문의가 실장직과 함께 CPO를 맡게 됐다.

이혜련 국립중앙의료원 정보화실장은 "보건복지부 감사를 통해 정보보호팀이 신설됐지만 정작 인력 증원 없이 기존 인원을 나눠 운영하게 됐다"며 "CPO 권한 강화가 자칫 모든 사고의 책임을 개인에게 지우는 중압감으로 다가올까 우려된다"고 말했다.

한국교통안전공단은 공단 직원이 직접 운영하는 59개의 자동차 검사소 외에도 민간에서 지정해 운영 중인 2000여개의 검사소를 관리해야 하는 복잡한 위탁 구조로 돼 있다.

이창범 한국교통안전공단 정보보안처장은 "공공기관 내부 인력만으로는 자동차 검사소와 같은 방대한 연계 시설까지 관리하기에 한계가 있다"며 "개인정보위가 재정경제부 등 관계 부처와 협의해 실질적인 조직과 인력이 확충될 수 있도록 힘써달라"고 요청했다.

정영철 한국사회보장정보원 정보이사도 시스템당 수억원에 달하는 ISMS-P 인증 예산 확보가 시급하다며 순환 보직에 따른 전문성 단절을 막기 위한 가이드라인이 필요하다고 전했다.

김현준 사회보장정보원장은 "우리 원은 AI를 활용해 보건복지부 산하 기관의 개인정보 오남용을 상시 모니터링하는 등 사전 예방을 최우선 가치로 삼고 있다. 오늘 논의된 현장의 목소리가 정책에 반영되길 바란다"고 말했다.

송 위원장은 "예산과 인력 확보가 어려운 현장 상황을 정부 전체 이슈로 끌어올려 재경부 등 관계 부처와 적극 협의하겠다"고 밝혔다.

◎공감언론 뉴시스 [email protected]