민간유출은 2019년 1398만건 → 2023년 8월 261만건
13일 윤영덕 더불어민주당 의원이 개인정보보호위원회로부터 받아 공개한 자료에 따르면 신고된 공공기관 개인정보 유출건수는 2019년 5만2000건에서 지난해 8월 기준 339만8000건으로 급증했다. 같은 기간 민간기업에서 신고한 유출 건수는 1398만9000건에서 261만7000건으로 줄면서, 지난해 처음으로 공공기관 개인정보 유출건수가 민간의 유출건수를 넘어섰다.
실제로 최근 불거진 법원 전산망 해킹·자료유출 사건의 최근 합동조사·수사 결과 2년 동안 개인정보가 포함된 1000기가바이트(GB) 규모의 자료가 빠져나간 사실이 드러났고, 전 국민을 대상으로 서비스하는 온라인 민원 플랫폼 '정부24'에서도 개인정보가 유출되는 등 공공기관 개인정보 유출 사고가 잇따르고 있다.
경찰청 국가수사본부에 따르면 '라자루스'로 추정되는 북한 해킹 조직이 지난 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입해 총 1014GB의 법원 자료를 외부로 빼돌린 것으로 조사됐다. 유출이 확인된 자료는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 담겼다.
지난달 초에는 정부24에서 성적·졸업증명서 등 교육민원 관련 증명, 법인용 납세증명서 등 국세민원 관련 서류를 발급받을 때 서류가 잘못 발급되는 오류가 발생했다. 교육민원 서비스는 646건, 납세증명서는 587건이 잘못 발급됐다. 오발급된 교육민원 서류에는 타인의 이름 및 주민등록번호가 포함됐으며, 법인용 납세증명서에는 사업자등록번호가 표시돼야 하지만 법인 대표 성명과 주민등록번호가 표시돼 발급됐다.
그밖에 지난해 6월 고용정보원이 관리하는 구인·구직 포털 워크넷에서도 23만여명의 성명·성별·주소·전화번호·학력사항·경력사항 등이 담긴 이력서 정보가 유출되는 사고가 발생하기도 했다.
이처럼 공공기관의 개인정보 유출이 빈번해지고 있지만 이에 대한 처벌 수준은 민간에 비해 부족하다는 지적이 제기된다. 실제로 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업의 7% 수준에 그쳤다. 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 과징금이 최대 20억원으로 정해져 있기 때문이다. 반면 민간 기업은 지난해 9월 개인정보보호법 개정안 시행으로 과징금 상한액이 '위법행위와 관련된 매출액의 3%'에서 '전체 매출액의 3%'로 올랐다.
공공기관 개인정보보호책임자(CPO)의 전문성이 민간에 비해 부족하다는 지적도 있다. 개인정보보호법에 따르면 대형병원, 기업, 대학 등은 전문성과 독립성을 갖춘 CPO를 의무적으로 지정해야 한다. CPO는 개인정보보호 경력 2년 이상을 비롯해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하며 상근해야 한다. 이와 달리 공공기관 CPO는 관련 경력이 없어도 급수만 충족되면 누구나 맡을 수 있다. 지난달 개인정보 1200여건을 유출한 '정부24'등 행정안전부의 CPO도 관련 분야와 무관한 정책기획관이 맡고 있다.
이에 대해 행안부 관계자는 "행안부 데이터를 관리하는 곳이 정책기획관 소속인 데이터정보화담당관"이라며 "개인정보보호법 시행령상 CPO 지정요건에 고위공무원단에 속하는 공무원을 돼 있어 결제라인상 정책기획관이 CPO를 맡는 것"이라고 설명했다.