공공부문 주요 시스템에 대한 취약점 점검과 모의해킹을 의무화하고 시정명령·평가 연계를 강화하는 등 개인정보보호 제도개선이 추진된다.

개인정보보호위원회는 25일 제5회 전체회의에서 '공공부문 개인정보보호 강화를 위한 제도개선 추진 방안'을 보고했다고 밝혔다. 

공공부문의 개인정보 유출 신고는 2021년부터 2025년까지 지속적으로 증가하고 있다.

5년간 전체 유출 규모의 95%가 외부 해킹에 의한 유출이었으며, 신고건수 기준으로는 인적 과실에 의한 유출이 61%를 차지했다. 

이에 따라 개인정보위는 해킹과 인적 과실에 동시에 대응하는 예방 중심 관리체계로 전환하기로 했다.

먼저, 개인정보위가 지정한 58개 기관 387개 집중관리시스템을 대상으로 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 각각 연 1회 이상 추가 시행한다.

점검 결과 확인된 취약점은 지체 없이 보완·개선해야 한다.

이와 관련한 내용을 담은 '개인정보의 안전성 확보조치 기준' 고시는 즉시 개정되며, 내년부터 시행될 예정이다.

인적 과실로 인한 유출에 대해서는 사후 조치도 강화된다.

앞으로는 재발방지 권고 수준을 넘어 시정명령을 적극 부과하고, 2026년도 공공기관 개인정보 보호수준 평가에서 법 위반으로 처분받은 기관에 대한 감점을 대폭 확대한다.

징계 체계도 정비한다.

현재 내부지침으로 운영 중인 '개인정보보호 법규 위반에 대한 징계권고 기준'을 고시로 격상해 대외적 효과를 높이고, 개인정보보호 담당자에 대한 포상과 인센티브 방안도 함께 검토한다.

현장 대응 역량 강화를 위한 교육도 확대한다.

공공부문에서 자주 발생하는 오입력·오발송·오공개 등 사고 유형과, 개인정보보호 우수 사례를 중심으로 맞춤형 교육 콘텐츠를 제작·배포하고, 보호수준 평가 권역별 설명회와 연계한 담당자 교육을 실시한다.

개인정보보호위원회는 "국민의 대규모 개인정보를 처리하는 공공기관의 특성을 고려해 예방 중심 관리체계를 강화하고, 외부 위협과 인적 과실에 대응할 수 있는 제도 개선을 통해 공공부문 전반의 개인정보보호 수준을 높여 나가겠다"고 밝혔다. 

문의: 개인정보보호위원회 조사총괄과(02-2100-3106), 신기술개인정보과(02-2100-3067), 자율보호정책과(02-2100-3050)