'따릉이' 유출 정황에…정부, 공공기관 인력·예산 점검 착수

등록 2026.02.05 06:00:00수정 2026.02.05 07:00:23

개인정보위, 653개 기관 보호 시스템·인력 전수조사 착수

공공 개인정보 관리, 민간보다 취약한 구조 드러나

"인력·예산 부족 해소 위한 국가 차원 대책 마련 시급"

[서울=뉴시스] 정병혁 기자 = 12일 서울시내 따릉이 대여소에 자전거가 세워져있다. 2025.11.12. jhope@newsis.com

[서울=뉴시스] 정병혁 기자 = 12일 서울시내 따릉이 대여소에 자전거가 세워져있다. 2025.11.12. [email protected]

[서울=뉴시스]윤정민 기자 = 500만 회원을 둔 서울시 공공자전거 '따릉이' 개인정보 유출 의심 정황이 포착되자 민간뿐만 아니라 공공 부문 개인정보 보호 중요성이 부각됐다. 최근 정부가 일부 공공 시스템에 모의해킹을 진행했더니 보안 시스템이 허술하다는 조사 결과도 나왔다. 이에 정부는 이달 중 공공기관 보안 실태를 전수조사해 부족한 인력과 예산 확보 방안을 정비한다는 방침이다.

송경희 개인정보보호위원장은 지난 3일 오후 국무회의에서 "(개인정보위 출범 이후) 최초로 공공 부문 653개 기관 개인정보 보호 시스템, 인력 현황을 전수 조사하고 있다"며 "각 부처에 현황 조사에 적극 참여해 달라"고 밝혔다.

개인정보위는 이번 조사를 통해 기관별 개인정보 보호 담당 인력과 내년, 2027년 중으로 시급히 확보해야 할 개인정보 보호 시스템 예산을 파악할 예정이다.

공공기관 유출 신고 5년 새 10배 급증…모의해킹 결과도 최악

[서울=뉴시스] 김금보 기자 = 송경희 개인정보보호위원회 위원장이 4일 오전 서울 여의도 국회 의원회관에서 열린 '개인정보 유출 대응 강화를 위한 당정협의'에서 발언을 하고 있다. 2026.02.04. kgb@newsis.com

[서울=뉴시스] 김금보 기자 = 송경희 개인정보보호위원회 위원장이 4일 오전 서울 여의도 국회 의원회관에서 열린 '개인정보 유출 대응 강화를 위한 당정협의'에서 발언을 하고 있다. 2026.02.04. [email protected]

정부가 이처럼 전례 없는 전수조사에 나선 이유는 공공 부문의 개인정보 관리 체계가 민간에 비해 현저히 취약하다는 판단 때문이다.

현재 정부는 약 1만6000개의 시스템을 통해 국민 개인정보 약 770억건을 처리하고 있다.

하지만 개인정보 관리 중요성과 달리 보안 사고가 나날이 증가하고 있다. 개인정보위에 따르면 지난해 공공 분야 유출 신고 건수는 2020년 이후 5년 만에 10배 이상 증가했다.

최근 감사원은 개인정보위가 개인정보 안전 조치를 강화하기 위해 집중 관리 목적으로 지정한 공공 시스템 중 7곳을 모의해킹했다. 그 결과 7개 시스템 모두 권한이 없는 타인의 정보를 조회할 수 있는 것으로 드러났다. 특정 시스템은 중요 정보가 암호화되지 않아 관리자 권한 획득 시 13만명의 주민등록번호를 탈취할 수 있었다. 입력값 검증 과정 미비로 5000만명의 정보가 반복 조회될 위험에 처한 곳도 있었다.

이에 개인정보위는 주요 공공 시스템을 대상으로 취약점 점검 등을 강화할 방침이다. 공공기관 개인정보 보호 수준 평가는 기존보다 등급을 세분화해 '매우 미흡' 단계를 신설하고 유출 사고 발생 시 감점 폭을 확대한다. 정보보호·개인정보보호 관리체계(ISMS-P) 인증 제도도 손질해 일부 공공 시스템에 인증 의무화를 추진한다. 위반 시 인증 취소 등 사후 관리와 퇴출 장치를 마련할 계획이다.

공공 부문 개인정보책임자들 "인력은 그대로, 책임만 무겁다" 호소

[서울=뉴시스] 윤정민 기자 = 개인정보보호위원회가 13일 오후 서울 광진구 한국사회보장정보원에서 공공분야 개인정보 보호 현장 간담회를 열었다. 2026.01.13. alpaca@newsis.com

[서울=뉴시스] 윤정민 기자 = 개인정보보호위원회가 13일 오후 서울 광진구 한국사회보장정보원에서 공공분야 개인정보 보호 현장 간담회를 열었다. 2026.01.13. [email protected]

전수조사에 나선 또 하나의 이유는 공공기관 현장 애로사항 영향도 있다. 일부 공공기관 개인정보보호책임자(CPO)들은 지난달 개인정보위가 연 간담회에서 현장 인력·예산 부족 문제를 토로했다.

국립중앙의료원의 경우 별도 인력 증원 없이 정보보호팀이 신설되면서 진단검사의학과 전문의가 실장직과 함께 CPO를 맡고 있다. 이날 간담회에 참석한 일부 기관의 개인정보 보호 인력도 1명이나 소수에 불과했다. 개인정보 보호 전담이 아니라 업무를 제대로 수행할 수 없는 곳도 있었다. 이에 이들은 개인정보위에 재정경제부 등 관계 부처와 협의해 실질적인 조직과 인력이 확충될 수 있도록 힘써달라고 요구했다.

한편, '따릉이' 운영기관인 서울시설공단은 지난달 27일 서울경찰청 사이버수사대로부터 따릉이 회원 정보 유출 의심 정황을 전달받았다고 했다. 이는 내부 모니터링으로 유출 정황을 발견하지 못했다는 뜻이다.

공단이 개인정보보호 포털에 공시한 내용에 따르면 공단은 현재 498만7824명의 휴대전화번호, 이메일 주소가 담긴 개인정보 파일 '서울자전거 따릉이 회원정보'를 관리·보관하고 있다. 구체적인 피해 규모가 알려지지 않았으나 이 파일이 유출됐다면 따릉이 모든 회원에게 스팸 메일, 보이스피싱 등 2차 범죄에 악용될 위험이 매우 크다.

전문가들은 정부의 이번 전수조사가 단순 현황 파악을 넘어 공공기관의 노후화된 보안 인프라를 대대적으로 교체할 수 있는 예산 확보의 근거가 돼야 한다고 입을 모았다.

염흥열 순천향대 정보보호학과 명예교수는 "따릉이의 경우 개인정보 보호 전담 인력 4명이 작지 않은 규모지만, 보안 모니터링 체계는 상당히 부족했던 것으로 보인다"며 "경찰로부터 정황을 전달받아 유출 사실을 알게 된 것은 실시간 이상 행위 탐지가 전혀 안 되고 있다는 증거"라고 말했다.

실제로 보안 장비와 데이터베이스 접근에 대한 로그 데이터 분석이 제대로 이뤄지지 않았거나 실시간 이상 행위 탐지 시스템이 작동하지 않았을 가능성이 크다는 지적이다.

염 교수는 "노후화된 서버 교체를 위한 예산 확보와 더불어 외부 전문 기관을 활용한 철저한 원인 분석, 재발 방지 대책 수립이 시급하다"고 밝혔다.

◎공감언론 뉴시스 [email protected]