보안 제품정보


개인정보위, 공공분야 개인정보보호 의무 더욱 강화된다 2024.09.13

24년 9월 15일부터 주요 개인정보처리시스템 보유 부처·공공기관, 추가 안전조치 이행해야
보호법 개정에 따른 유출신고 대상 확대, 공공부문 개인정보보호 한층 강화 기대


[보안뉴스 박은주 기자] 2024년 9월 15일부터 주요 개인정보 처리시스템을 보유·운영 중인 정부부처(부처·청·위원회 등)와 산하 공공기관은 기존 안전조치 의무 외에 추가적 안전조치 의무를 준수해야 한다. 2023년 보호법령 개정 후 1년의 계도기간이 지남에 따른 조치다.

[로고=개인정보위]


대상은 일정 규모 이상 개인정보(100만명) 또는 개인정보취급자(200명)를 보유하고 있거나 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영 중인 정부부처와 산하기관 63곳으로 대다수 주요 공공기관이 해당한다.

▲공공시스템(집중관리시스템) 지정 기준 예시[이미지=개인정보위]


해당 기관은 종래 기관별 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 둬야 한다. 또한, 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 해야 한다. 이밖에 시스템 접속기록에 대한 주기적 점검(특이사항 탐지 포함) 및 개인정보보호 전담인력 확충 등 4대 분야 총 10개의 추가적 안전조치 의무를 지게 된다. 이를 위반할 경우 과태료가 부과되며, 개인정보 유출 시에는 과징금도 부과된다.

▲추가적 안전조치 의무 (4대 분야 10대 과제)[자료=개인정보위]


▲공공분야 유출신고 건수(2023년 9월 15일 기준변경)[자료=개인정보위]

2024년 상반기 유출신고는 16건에서 62건으로 전년대비 약 3.8배 증가한 것으로 알려졌다. 지난해 보호법령이 개정된 것이 주된 이유인 것으로 보인다. 공공분야 개인정보보호를 위해 공공부문의 유출신고 의무대상을 종래 1,000건 이상 유출된 경우에서 확대해 민감정보(고유식별정보 포함)나 외부 불법접근(해킹 등)의 경우에는 1건만 유출되어도 신고하도록 했다. 개인정보위는 유출신고 의무대상 확대를 통해 법 적용의 사각지대를 최소화하는 한편 공공기관의 유출 예방 노력을 지속해서 강화하도록 유도해 나갈 방침이다.

이 외에도 개인정보위는 공공분야 개인정보 관리의 경각심을 높이기 위한 취지로 제재 수위를 높인 바 있다. 안전조치 의무 위반으로 개인정보 유출 시 공공부문의 경우 그간 과태료를 부과했으나 보호법을 개정해 과징금 부과 대상으로 바꿨다. 공무원 등이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 단 한 번이라도 바로 파면·해임(원스트라이크아웃)될 수 있도록 했으며, 형사처벌(5년 이하 징역 또는 5천만 원 이하 벌금)도 가능해졌다. 예를 들어 A 기관이 해킹됐을 때 개정 전에 과태료 처분을 받았다면, 보호법 개정 후에는 20억원 미만의 정액 과징금이 부과된다.

개인정보위는 2024년 9월 15일부터 주요 공공시스템 운영기관의 보호법상 안전조치 의무가 강화되어 시행됨에 따라 적용 대상이 되는 공공기관 등의 경우 각별한 주의를 요구했다. 더불어 이상 유출신고 의무대상 확대, 안전조치 의무 강화 및 제재수위 상향 등 일련의 조치를 통해 공공기관에서 유출사고 발생 시 엄정 조사·처분함으로써 공공부문의 개인정보보호 강화 노력을 적극적으로 유도할 계획이다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>