민간뿐만 아니라 공공기관에서도 개인정보 유출 사고가 잇따르자 정부가 관련 제도 강화에 나섰다.

개인정보보호위원회는 25일 전체회의를 열어 개인정보보호법을 위반한 공무원연금공단, 서울 강북구청에 대한 징계처분을 의결하고 ‘공공부문 개인정보보호 강화를 위한 제도개선 추진방안’을 보고했다고 26일 밝혔다.

◆‘위조서류’에 공무원 개인정보 탈탈 = 이번에 징계를 받은 공무원연금공단은 외부인의 공단 내부시스템 접속 및 개인정보 무단열람을 방치한 것으로 나타났다.

개인정보위에 따르면 공단에서는 2022년 4월 5일부터 이듬해 10월 23일까지 외부인이 ‘연금업무지원시스템’(현 지능형연금복지시스템)에 접속, 공무원 1036명의 인사기록카드, 소득, 기여금 납부내역 등 개인정보를 열람하는 사고가 있었다.

연금업무지원시스템은 공무원의 연금 가입 관리, 연금액 산출, 퇴직급여 심사 등을 위한 시스템이다. 기관별 연금담당자는 소속 공무원의 주민등록번호·소득자료·주소 등을 열람할 수 있다.

조사 결과, 이 외부인은 공무원이 아니었으며 그가 제출한 시스템 접속 신청서에는 신청자 서명 및 기관장 직인이 누락·위조된 정황도 있었다. 그러나 공단은 진위 검증을 제대로 하지 않은 채 5차례의 권한 신청을 모두 승인한 것으로 확인됐다.

또 공단은 전보·업무 변경 등으로 연금담당자 권한을 상실한 사람의 시스템 접근 권한을 지체없이 말소하지 않았으며, 시스템 접속기록을 제대로 보관·관리하지 않았고 각 기관 연금담당자들의 접속기록 점검도 소홀히 한 것으로 나타났다.

개인정보위는 공단이 안전조치의무(접근권한·접속기록)를 위반한 것으로 보고 과징금 5억3200만원을 부과하고 징계권고·공표·공표명령을 의결했다.

강북구청에서는 2024년 3월 해킹으로 인한 공무원 개인정보 유출사고가 있었다.

구청에서 운영하는 영상정보제공시스템 관리자페이지에 해커가 접속, 경찰 등 공무원 973명의 이름·인증정보(ID·비밀번호)·소속 등 정보를 내려받은 것.

조사 결과 강북구청은 개인정보처리시스템 접속을 IP 주소 등으로 제한하지 않고, 인터넷(외부망)을 통한 시스템 접속 시 안전한 접속·인증수단을 적용하지 않은 것으로 나타났다.

또 안전하지 않은 암호화 알고리즘으로 비밀번호를 암호화하고, 취급자의 접속기록을 1년 이상 보관·관리 하지 않았으며, 유출통지 항목을 일부 누락한 사실도 확인됐다.

개인정보위는 강북구청이 안전조치 및 유출통지 의무를 위반한 것으로 보고 과징금 3억7800만원과 과태료 480만원을 부과했다. 유출통지 시 누락한 항목에 대해서는 통지하도록 시정을 권고하고, 공표와 공표명령을 의결했다.

◆과실로 인한 유출 시 시정명령 적극 부과 = 한편 개인정보위는 25일 전체회의에서 주요 공공시스템의 개인정보보호 강화를 위한 모의해킹 의무화를 추진키로 했다.

이날 보고된 ‘공공부문 개인정보보호 강화를 위한 제도개선 추진방안’에 따르면 개인정보위는 58개 기관의 387개 시스템을 ‘집중관리시스템’으로 지정한다. 집중관리시스템은 취약점 점검과 외부 전문가를 활용한 모의해킹(침투테스트)을 각각 연 1회 이상 시행토록 한다. 모의해킹은 그동안 각 기관의 판단에 따라 자율적으로 이뤄져왔다.

개인정보위는 ‘개인정보의 안전성 확보조치 기준’ 고시를 즉시 개정하고 내년부터 시행할 방침이다.

개인정보위는 또 인적 과실에 의한 개인정보 유출에 대해 시정명령을 적극 부과키로 했다. 2026년도 ‘공공기관 개인정보 보호수준 평가’ 시 보호법 위반으로 시정명령 등의 처분을 받은 공공기관에 대한 감점을 대폭 확대, 처분의 실효성을 높일 계획이다.

현재 위원회 내부지침으로 운용중인 ‘개인정보보호 법규 위반에 대한 징계권고 기준’도 고시로 격상, 대외적 효과를 높이기로 했다.

이밖에 공공부문에서 자주 발생하는 사고 사례 및 우수 사례를 중심으로 개인정보보호 맞춤형 교육 콘텐츠를 제작·배포하고, 2026년도 보호수준 평가 권역별 설명회와 연계한 담당자 교육을 실시한다는 계획이다.

이재걸 기자 claritas@naeil.com