(포탈뉴스통신) 개인정보보호위원회는 전 국민의 주민등록번호 등 주요 개인정보를 대규모로 처리하는 공공기관부터 사전예방 중심 관리를 강화한다. 이를 위해 “위험기반 관리(Risk-based), 증적중심 점검(Evidence-based), 결과와 인센티브 연계(Outcome-linked)로 자발적 개선 유도” 원칙을 세우고, 이에 맞춰 사전예방 업무를 추진해 나갈 계획이다.

 

이번 조치는 인공지능·클라우드 확산, 플랫폼 경제로의 전환 등으로 대규모·고위험 개인정보 처리가 일상화되면서 개인정보 유출 및 침해 위험이 높아지는 데 따른 것으로, 공공기관의 경우 국민 개인정보를 당사자 동의 여부와 무관하게 법령에 따라 대규모로 처리함에 따른 위험도가 크지만, 과징금 부과 등 사후 제재 효과가 크지 않아, 우선적으로 실태점검과 안전 관리체계 확립을 추진하게 됐다.

 

우선, 개인정보위는 혈액정보관리시스템(대한적십자사) 등 국민의 개인정보 처리가 많은 8개 시스템을 집중관리시스템으로 신규 지정하고, 감염병 확산 시 한시적으로 이용된 역학조사지원시스템(질병관리청)은 지정 제외했다. 또한 기존 집중관리시스템으로 지정된 워크넷 등 3개 시스템이 고용24로 통폐합됨에 따라, 고용24(한국고용정보원)를 집중관리시스템으로 지정 변경했다.

 

이에 공공부문 집중관리시스템은 2024년 382개 시스템(57개 운영기관)에서 2026년 387개 시스템(58개 운영기관)으로 확대됐다. 집중관리시스템으로 지정되면, 개인정보취급자 권한부여시 인사정보와 연계, 접속기록 자동 분석 등 일반 시스템보다 강화된 안전조치를 적용해야 한다.

 

개인정보위는 3월까지 공공기관의 387개 집중관리시스템과 1만 명 이상의 주민등록번호를 처리하는 시스템을 대상으로 긴급 실태점검을 실시한다.

 

이번 점검은 최근 대형 유출사고에서 확인된 주요 취약요인을 점검하고 조치하기 위한 것이다. 집중관리시스템은 최신 보안패치 적용여부, 취급자 접속 시 인증서·일회용 비밀번호 등 안전한 인증수단 적용, 로그기록에 주민등록번호 등 주요정보가 남지 않도록 비식별조치 여부 등을 중점 점검한다. 또한, 1만 건 이상 주민등록번호를 처리하는 시스템은 주민등록번호 암호화 시 안전한 암호화 알고리즘 이용 여부와 암호키 관리 방식 등을 점검한다.

 

점검 결과 미흡 사항은 기관 별로 우선 조치하되, 개인정보위는 위험도에 따라 컨설팅 등 개선조치 지원을 통해 점검의 실효성을 확보할 계획이다.

 

개인정보 보호법에 따라 개인정보위는 일정 규모 이상의 주민등록번호 등 고유식별정보를 처리하는 기관의 안전관리 실태를 점검해야 한다. 그간은 자체점검 결과를 서면으로 제출하는 형식적 점검에 그쳤고, 조사의 강제성이 없어, 처리자 자율에 의존하는 측면이 크다는 지적이 있었다.

 

이에 당초 고유식별정보 관리실태 점검 취지에 맞게, 공공기관의 개인정보파일 목록에 있는 고유식별정보 유형, 처리 규모 등을 바탕으로 위험 정도를 파악하여 점검 대상을 선정한다. 이를 위해 개인정보파일 목록을 상반기 중에 현행화할 예정이다.

 

또한, 기존 26개 점검 항목을 대폭 손질하여 고유식별정보에 접근할 수 있는 취급자 권한 부여 현황 및 취급자가 정보 조회 시 일부 마스킹 등 비식별조치, 암호키 관리실태 등 핵심항목 위주로 깊이 있게 점검하되, 구체적인 증빙자료를 제출하도록 해 점검의 실효성을 제고할 계획이다.

 

아울러, 미흡사항 확인 시 개선계획 제출을 의무화하고, 점검 결과 우수기관에 대해서는 일정기간 점검 면제 및 포상 등 인센티브를 제공할 예정이다.

 

송경희 개인정보위 위원장은 “공공기관은 당사자의 동의 없이도 법령에 따라 전 국민의 중요 개인정보를 대규모로 처리하고 있으므로 사전 예방적 관리가 더욱 요구되는 영역”이라면서, “공공부문을 필두로 우리 사회 전반에 사전 예방 중심 개인정보 보호 체계가 뿌리내릴 수 있도록 개인정보위는 ‘사전예방 중심 정책’을 적극 펼쳐나갈 것”이라고 밝혔다.

[뉴스출처 : 개인정보보호위원회]