개인정보위, 공공부문 필두로 사전 예방 중심 보호 체계 전환 첫걸음

 - 위험기반 관리, 결과 연계 등 자발적 개선 유도 원칙으로 실질적 예방 효과 극대화 유도

 - 실태점검과 더불어 컨설팅·지원, 안내서·우수사례 보급, 상시 모니터링 등 지속가능한 보호 체계 구축

공공부문 집중관리시스템* 확대 지정

  * 개인정보 보유량, 취급자 수, 민감·고유식별정보 처리·연계 등을 고려하여 선정(개인정보 보호법 시행령 §30의2)

 '24년57개 기관, 382개 시스템 → '26년58개 기관, 387개 시스템(기관+1, 시스템+5)

   ※ 신규지정(8개), 지정취소(1개), 시스템 통·폐합(3개→1개)

주요 공공시스템 대상 긴급 실태점검

 최근 대형 유출사고 발생 주요 취약요인 중심으로 긴급 실태점검 실시

 위험성이 큰 시스템은 취약점 개선 지원, 불시 점검 등 지속 환류 추진

고유식별정보 실태조사 전면 개편

 고유식별정보 보유 규모 등 위험 기반으로 점검 대상 선정 정교화

 자체점검 결과제출 등 형식적 점검 → 핵심항목 위주로 증빙자료 점검

 미흡사항 개선계획 제출 의무화 및 인센티브 연계로 실질적 개선 유도

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 전 국민의 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관부터 사전예방 중심 관리를 강화한다. 이를 위해 "①위험기반 관리(Risk-based), ②증적중심 점검(Evidence-based), ③결과와 인센티브 연계(Outcome-linked)로 자발적 개선 유도" 원칙을 세우고, 이에 맞춰 사전예방 업무를 추진해 나갈 계획이다. 

  이번 조치는 인공지능·클라우드 확산, 플랫폼 경제로의 전환 등으로 대규모·고위험 개인정보 처리가 일상화되면서 개인정보 유출 및 침해 위험이 높아지는 데 따른 것으로,

  공공기관의 경우 국민 개인정보를 당사자 동의 여부와 무관하게 법령에 따라 대규모로 처리함에 따른 위험도가 크지만, 과징금 부과 등 사후 제재 효과가 크지 않아, 우선적으로 실태점검과 안전 관리체계 확립을 추진하게 됐다.

< 공공부문 유출 현황 ('25.) >

 유출신고 : ('22년)23건 → ('23년)41건 → ('24년)104건 → ('25년)128건 (전체 신고건수의 28.6%)

 유출원인 : 업무과실(64%), 해킹(32%)

 위반유형 : 안전조치의무(64%), 주민등록번호 등 수집제한(8%)

공공부문 집중관리시스템* 확대 지정

  * ①보유량 100만명↑, ②취급자 수 200명↑, ③사업비 100억, ④주민등록정보 연계, ⑤민감정보 처리 등으로 지정하며, 공공시스템 목록은 개인정보위 홈페이지에 공개

  우선, 개인정보위는 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템을 집중관리시스템으로 신규 지정하고, 감염병 확산 시 한시적으로 이용된 역학조사지원시스템(질병관리청)은 지정 제외했다. 또한 기존 집중관리시스템으로 지정된 워크넷 등 3개 시스템이 고용24로 통폐합됨에 따라, 고용24(한국고용정보원)를 집중관리시스템으로 지정 변경했다. 

  이에 공공부문 집중관리시스템은 '24년 382개 시스템(57개 운영기관)에서 '26년 387개 시스템(58개 운영기관)으로 확대됐다. 집중관리시스템으로 지정되면, 개인정보취급자 권한부여시 인사정보와 연계, 접속기록 자동 분석 등 일반 시스템보다 강화된 안전조치를 적용해야 한다.

주요 공공시스템 대상 긴급 실태점검

  개인정보위는 오는 3월까지 공공기관의 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다. 

  이번 점검은 최근 대형 유출사고에서 확인된 주요 취약요인을 점검하고 조치하기 위한 것이다. 집중관리시스템은 최신 보안패치 적용여부, 취급자 접속 시 인증서·일회용 비밀번호 등 안전한 인증수단 적용, 로그기록에 주민등록번호 등 주요정보가 남지 않도록 비식별조치 여부 등을 중점 점검한다. 또한, 1만 건 이상 주민등록번호를 처리하는 시스템은 주민등록번호 암호화 시 안전한 암호화 알고리즘 이용 여부와 암호키 관리 방식 등을 점검한다.

  점검 결과 미흡 사항은 기관 별로 우선 조치하되, 개인정보위는 위험도에 따라 컨설팅 등 개선조치 지원을 통해 점검의 실효성을 확보할 계획이다.

고유식별정보 실태조사 전면 개편

  개인정보 보호법에 따라 개인정보위는 일정 규모* 이상의 주민등록번호 등 고유식별정보를 처리하는 기관의 안전관리 실태를 점검해야 한다. 그간은 자체점검 결과를 서면으로 제출하는 형식적 점검에 그쳤고, 조사의 강제성이 없어, 처리자 자율에 의존하는 측면이 크다는 지적이 있었다.

  * (공공) 1만명 이상 고유식별정보 처리, (민간) 5만명 이상 고유식별정보 처리

  이에 당초 고유식별정보 관리실태 점검 취지에 맞게, 공공기관의 개인정보파일 목록에 있는 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악하여 점검 대상을 선정한다. 이를 위해 개인정보파일 목록을 상반기 중에 현행화할 예정이다.

  또한, 기존 26개 점검 항목을 대폭 손질하여 고유식별정보에 접근할 수 있는 취급자 권한 부여 현황 및 취급자가 정보 조회 시 일부 마스킹 등 비식별조치, 암호키 관리실태 등 핵심항목 위주로 깊이 있게 점검하되, 구체적인 증빙자료를 제출하도록 해 점검의 실효성을 제고할 계획이다.

  아울러, 미흡사항 확인 시 개선계획 제출을 의무화하고, 점검 결과 우수기관에 대해서는 일정기간 점검 면제 및 포상 등 인센티브를 제공할 예정이다.

  송경희 개인정보위 위원장은 "공공기관은 당사자의 동의 없이도 법령에 따라 전 국민의 중요 개인정보를 대규모로 처리하고 있으므로 사전 예방적 관리가 더욱 요구되는 영역"이라면서, "공공부문을 필두로 우리 사회 전반에 사전 예방 중심 개인정보 보호 체계가 뿌리내릴 수 있도록 개인정보위는 '사전예방 중심 정책'을 적극 펼쳐나갈 것"이라고 밝혔다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 사전실태점검과 송영아(02-2100-2424)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”