앞으로 공무원이 국민의 개인정보를 고의로 유출하거나 부정이용하면 무관용 원칙에 따라 한번 위반으로도 파면·해임하는 ‘원스트라이크 아웃’ 제도가 적용된다. 개인정보보호위원회는 ‘n번방’ 사건, 신변보호 여성 가족 살해 사건 등에 공공기관 직원이 유출한 개인정보가 악용됐던 사례를 막기 위해 공공부문 개인정보 관리 강화 대책을 마련했다.

개인정보보호위는 14일 한덕수 국무총리 주재 국정현안점검조정 회의에서 이같은 내용의 공공부문 개인정보 유출 방지대책을 보고했다.

개인정보 유출 및 부정이용 등의 비위 수준이 심각할 경우 한 번만 위반해도 즉시 공직에서 퇴출당한다. 개인정보 취급자가 개인정보를 부정 이용하면 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과토록 처벌 규정도 신설했다. 공공기관 대상 과태료·과징금도 적극적으로 부과한다.

지난해 기준 공공부문은 개인정보 669억건을 처리하고 있으며, 공공기관의 16.4％는 100만명 이상의 개인정보를 보유하고 있다. 공공기관 개인정보 유출 규모는 2017년 2개 기관 3만6000건에서 2021년 22개 기관 21만3000건으로 대폭 증가했으나, 이에 대한 중징계는 같은 기간 9건에서 2건으로 줄어드는 등 징계 수위는 낮아지고 있다. 매년 이뤄지는 개인정보 관리 실태조사에서 공공부문은 민간부문보다 개인정보 보호 수준이 떨어진다는 결과가 나왔다.

개인정보보호위원회 제공

특히 공공기관의 개인정보 유출은 중대 범죄로 이어지기도 했다. 지난해 12월엔 수원시 공무원이 행정정보시스템에서 취득한 피해자 주소를 흥신소에 유출해 신변보호 중이던 피해자 가족이 살해당했다. 또 2019년 발생한 n번방 사건에서 공범이었던 수원시 사회복무요원이 다른 공무원 계정으로 피해자 신상정보를 취득·유출하기도 했다.

정부는 공공부문 개인정보 유출을 막기 위해 개인정보 보유량이 많고 민감한 개인정보를 취급하는 공공부문 시스템 1만6199개의 약 10％를 집중관리대상으로 선정해 접속기록 관리 시스템 의무 도입을 포함한 3단계 안전조치 의무를 부과하기로 했다. 집중관리 대상으로 선정되면 우선 개인정보 취급자 계정 발급을 엄격화해서 인사 정보와 연동해야 하며, 미등록된 직원에게는 계정 발급을 못하게 된다.

또 비정상적 접근 시도를 탐지해 차단하는 ‘접속기록 관리 시스템’을 의무적으로 도입해 개인정보 이용 기관이 취급자의 접속기록을 조회할 수 있도록 한다. 대규모 개인정보나 민감한 정보를 처리하는 경우 사전 승인을 받거나 사후 소명하도록 하고, 개인정보 활용시 정보주체인 국민에게도 처리 사실을 알려야 한다.

개인정보 처리에 대한 책임과 역할도 명확하게 한다. 현재 지자체 등 개인정보 처리시스템 이용기관에서 소속 취급자에 대한 접속기록을 직접 점검하는 비율은 1％에 불과하다. 앞서 신변보호 여성의 가족을 살해한 이석준씨에게 정보를 팔아넘긴 수원시 권선구청 전직 공무원이 접근한 자동차관리시스템의 경우, 접속 기록 점검 책임이 운영 주체인 국토부에 있는지, 수원시에 있는지 불분명해 사각지대가 생겼다.

정부는 이런 피해를 막기 위해 개인정보 이용기관도 시스템에서 개인정보 파일을 운영하는 경우 개인정보 처리자로 처분하고 취급자 교육 및 관리·감독 책임을 강화하기로 했다. 개인정보 이용기관은 아울러 시스템 운영 부처와 이용 기관이 모두 참여하는 개인정보 보호 협의회를 설치해 운영해야 한다.

관련 인력과 예산도 확충한다. 개인정보 보호 예산이 1000만원 미만인 곳이 60.1%나 된다. 이에 따라 개인정보 전담 부서가 있는 기관은 3.8％, 전담 인원도 평균 0.5명 수준에 불과했다. 윤종인 개인정보위 위원장은 “공공부문의 개인정보 유출로 국민이 고통받는 경우가 다시는 발생하지 않도록 철저하게 점검·관리하겠다”고 말했다.