개인정보 유출 사고가 발생하는 공공기관에 대한 평가 감점 폭이 2배 커진다. 평가 결과가 나쁜 기관은 명단을 공개한다.

개인정보보호위원회는 8일 전체회의를 열고 이같은 내용의 ‘2026년 공공기관 개인정보 보호수준 평가 추진계획’을 확정했다.

개인정보 보호수준 평가는 개인정보 보호법에 따라 공공기관이 법적 의무사항을 제대로 이행하는지 여부 등 개인정보 보호를 위한 기관의 전반적인 노력을 평가하는 제도다. 2024년부터 시행 중이다.

이날 발표된 계획에 따르면 사고 발생 기관에 적용되는 감점 최대치는 항목 당 기존 10점에서 20점으로 상향된다.

개인정보 유출 사고 발생 건당 최대 20점씩 감점이 가능하며 신고 고의 누락, 현지실사 방해 등 공정한 평가를 방해하는 행위를 하거나 전년도 개선권고를 이행하지 않을 경우에도 마찬가지다. 사후대응 조치가 미흡한 경우에도 최대 5점의 감점이 부여된다.

이밖에 ‘개인정보 유출 등 사고 예방과 대응 노력’ 지표가 신설, 모의해킹을 포함한 취약점 점검 실적이 평가에 반영된다.

내부 직원에 의한 유출을 사전 차단키 위해서는 ‘올해의 테마’ 지표로 ‘내부자 보안’을 선정, 집중 점검을 한다. 기관장의 보호 노력을 평가하는 지표 배점도 높인다.

자체평가를 수행하는 소속기관과 교육지원청에 대해서는 ‘보통(90점 이상), 일부 미흡(80점~90점), 미흡(80점 미만)’의 3등급 체계를 적용한다. ‘미흡’ 기관 명단은 공개하고, ‘일부 미흡’ 및 ‘미흡’ 기관에게는 보완 조치서를 제출받을 예정이다.

이밖에 전문가가 참여하는 심층평가(정성지표) 비중을 50%로 확대하고, 평가 시스템 선정 기준 미준수 시 감점을 부여다.

올해 평가 대상 기관은 총 1464곳으로, 중앙행정기관과 그 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도교육청 학교·특수법인 등이 해당된다.

기관별로 S(90점 이상)·A(80~90점)·B(70~80점)·C(60~70점)·D(60점 미만) 등 5개 평가등급이 부여된다.

본격적인 평가는 올해 9월부터 2027년 3월까지 서면 평가와 현장 검증 등을 거쳐 진행된다. 최종 결과는 전문가 평가단의 검증을 거쳐 2027년 4월에 공식 발표된다. 개인정보위는 평가 결과가 우수한 기관 및 담당자에 대해 포상을 늘리고, 기관 자체 포상도 활성화될 수 있도록 기관 및 주무 부처에 우수 담당자를 통지할 예정이다. 미흡 기관에 대해서는 개선 권고와 이행점검을 실시한다.

개인정보위 관계자는 “최근 공공기관에서도 유출사고가 잇따르는 만큼 공공부문의 안전 관리체계가 강화되어야 한다”며 “평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 자문 등 체계적인 지원을 통해 공공부문 전체의 안전관리 수준을 높여 나가겠다”고 강조했다.

이재걸 기자 claritas@naeil.com