개인정보위, 공공기관 개인정보 유출 감점 2배로 높인다

개인정보보호위원회(이하 개인정보위)는 공공기관에서 개인정보 유출 사고가 발생했을 때 적용하는 감점 최대치를 기존 10점에서 20점으로 높이고, 사고 뒤 대응이 미흡한 경우에도 최대 5점을 추가로 감점하는 내용을 담은 ‘2026년 공공기관 개인정보 보호수준 평가 추진계획’을 확정했다고 13일 밝혔다.

이번 계획은 8일 개인정보위 전체회의에서 확정됐다. 개인정보 보호수준 평가는 개인정보 보호법 제11조의2에 따라 공공기관의 법적 의무 이행과 개인정보 보호 노력을 평가하는 제도다. 2024년부터 시행했다.

올해 평가는 유출 사고와 사후 대응에 대한 제재를 강화한 점이 핵심이다. 개인정보위는 공공기관의 기관 책임을 높이기 위해 유출 사고 감점을 확대했다. 여기에 유출 사고 뒤 대응 조치가 부실한 경우에도 별도 감점을 적용하기로 했다.

사전 예방 평가도 강화한다. 개인정보위는 ‘개인정보 유출 등 사고 예방과 대응 노력’ 지표를 새로 만들고, 모의해킹을 포함한 취약점 점검 실적을 정성평가에 반영한다. 내부 직원에 의한 유출을 막기 위해 올해의 테마 지표로 ‘내부자 보안’도 선정했다. 기관장의 개인정보 보호 노력에 대한 배점도 높인다.

평가의 변별력도 키운다. 소속기관과 교육지원청은 기존보다 단순한 3등급 체계로 평가한다. 90점 이상은 ‘보통’, 80점 이상 90점 미만은 ‘일부 미흡’, 80점 미만은 ‘미흡’이다. 개인정보위는 ‘미흡’ 기관 명단을 공개하고, ‘일부 미흡’과 ‘미흡’ 기관에는 보완 조치서를 받을 예정이다. 정성지표 비중도 50%로 확대한다.

2026년 평가 대상은 모두 1464개 기관이다. 중앙행정기관, 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도교육청, 학교·특수법인, 공공시스템 운영기관이 포함된다. 본평가는 올해 9월부터 2027년 3월까지 서면평가와 현장 검증 방식으로 진행한다. 최종 결과는 2027년 4월 발표한다.

개인정보위는 우수 기관과 담당자에 대한 포상을 확대하고, 미흡 기관에는 개선 권고와 이행점검을 진행할 계획이다. 6월부터 9월까지는 권역별 설명회를 열고 평가 편람과 우수사례집도 배포한다. 평가 결과가 미흡하거나 현장 자문을 희망하는 기관에는 1대1 맞춤형 자문도 제공한다.

양청삼 개인정보위 사무처장은 “최근 공공기관에서도 유출사고가 잇따르는 만큼 공공부문의 안전 관리체계가 강화돼야 한다”며 “평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 자문 등 체계적인 지원을 이어가겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network