2026년 공공기관 개인정보 영향평가, 무엇이 달라졌나
개인정보보호위원회(이하 개인정보위)가 2026년 공공기관 개인정보 보호수준 평가를 오는 9월부터 2027년 3월까지 진행한다. 올해는 개인정보 유출사고 감점을 최대 20점으로 높이고, 내부자 보안과 모의해킹을 포함한 취약점 점검, 기관장의 보호 노력을 중점적으로 평가한다.
황지은 개인정보보호위원회 자율보호정책과장은 26일 서울 서초구 aT센터에서 열린 ‘미토스 AI 시대, 개인정보보호 규제 컴플라이언스’ 세미나에서 올해 평가기준과 공공기관의 대응 방향을 설명했다.
2026년 평가계획은 지난 4월 확정됐다. 평가 대상 기관은 9월 본격적인 평가가 시작되기 전까지 내부자 계정·권한 관리와 취약점 점검, 사고 대응체계, 기관장 보고 절차 등을 확인해야 한다. 올해는 중앙행정기관과 지방자치단체, 공공기관, 지방공기업, 교육청 등 1464개 기관을 평가한다. 기관이 법적 의무를 지켰는지 확인하는 자체평가 40개 지표와 실제 보호 노력을 살피는 심층평가 6개 지표를 적용한다.
황 과장은 “더 이상 사고 이후 과징금을 부과하는 것만으로 개인정보 보호 수준을 높이기 어렵다고 판단했다”며 “평가와 인증제도를 사전 예방 수단으로 활용하고 있다”고 말했다.
유출사고 감점 10점에서 20점으로
가장 큰 변화는 ‘개인정보 유출사고에 대한 감점 확대’다. 유출사고가 발생한 기관에 적용하는 최대 감점은 기존 10점에서 20점으로 높아진다. 사고 이후 신고와 통지, 피해 확산 방지, 재발방지 조치가 미흡하면 최대 5점을 추가로 깎는다.
기존에는 사고 이후 대응을 충실히 한 기관의 감점을 줄여줬다. 올해부터는 사후 대응을 당연히 이행해야 할 의무로 보고, 대응이 부족할 때 추가로 감점하는 방식으로 바꾼다. 기관이 다른 항목에서 높은 점수를 받더라도 개인정보 유출사고가 발생하면 좋은 등급을 받기 어려워진다는 의미다.
모의해킹·내부자 보안 새로 본다
개인정보위는 올해 심층평가에 ‘개인정보 유출 등 사고 예방과 대응 노력’ 지표를 신설했다. 배점은 10점이다. 기관이 모의해킹을 포함한 취약점 점검을 수행했는지, 발견한 문제를 실제로 고쳤는지, 사고 대응 절차를 갖췄는지를 평가한다.
모의해킹은 공격자의 관점에서 시스템에 침투를 시도해 취약점을 확인하는 점검 방식이다. 단순히 점검 보고서를 보유했는지가 아니라, 발견한 취약점을 조치하고 결과를 관리했는지가 중요하다.
올해의 집중 평가 주제는 ‘내부자 보안’이다. 직원과 퇴직자, 외부 용역인력의 계정·권한을 적절히 관리했는지 살핀다. 개인정보 조회와 반출 기록을 점검하고 비정상적인 접근을 탐지하는 체계도 평가 대상이다.
황 과장은 “해킹뿐 아니라 업무상 과실과 내부 인적 요인으로 인한 유출도 적지 않다”며 “인적 유출 요인을 사고 전에 찾아내는 관리체계가 필요하다”고 설명했다.
기관 제출자료보다 현장 검증 비중 확대
평가방식도 달라진다. 개인정보위는 자체평가와 심층평가의 반영 비율을 기존 60대40에서 50대50으로 조정했다. 기관이 제출한 자료에 의존하는 비중을 줄이고 외부 평가단이 실제 운영 상태를 확인하는 심층평가 비중을 높인다는 취지다.
심층평가에서는 개인정보 보호 인력과 조직, 예산을 갖췄는지 확인한다. 개인정보 처리시스템과 개인정보파일 관리, 정보주체 권리 보장, 외부 위탁업체 관리, 사고 예방·대응 노력도 살핀다.
평가단은 필요하면 기관을 직접 방문한다. 담당자를 면담하고 시스템을 확인해 제출한 자료와 실제 운영 상태가 일치하는지도 검증한다. 소속기관과 교육지원청의 평가등급은 기존 5단계에서 ‘보통’, ‘일부 미흡’, ‘미흡’의 3단계로 바뀐다. 미흡 기관 명단은 공개하고 보완조치 이행 여부를 점검한다.
기관장 보호 노력 배점 두 배로 확대
기관장의 개인정보 보호 노력에 대한 배점은 기존 5점에서 10점으로 높아진다.기관장이 개인정보 보호계획과 주요 위험을 보고받았는지, 필요한 인력과 예산을 배정했는지, 개선조치의 이행 여부를 점검했는지가 평가에 반영된다.
개인정보 보호계획을 실무부서 내부에서만 작성하거나 기관장 승인 없이 운영하면 높은 평가를 받기 어렵다. 취약점을 확인하고도 예산이나 업무 우선순위를 이유로 방치한 경우에도 기관장의 관리 책임이 제기될 수 있다.
개인정보보호책임자(CPO)의 역할도 강화된다. CPO가 개인정보 보호에 필요한 인력과 예산을 요구하고, 주요 위험을 기관장이나 이사회에 보고할 수 있는 체계를 갖춰야 한다.
황 과장은 “기관장이 관심을 가져야 개인정보 보호 인력과 예산이 우선순위에서 밀리지 않는다”며 “개인정보 보호를 비용이 아닌 기관 운영의 핵심 관리체계로 봐야 한다”고 말했다.
주요 공공시스템, 취약점·침투테스트 매년 실시
국민 개인정보를 대규모로 처리하는 주요 공공시스템에 대한 기술점검도 강화한다.
개인정보위는 연내 관련 고시를 고쳐 집중관리 대상 공공시스템의 취약점 점검을 연 1회 이상 실시하도록 할 계획이다. 외부 전문인력이 실제 공격 가능성을 확인하는 침투테스트도 연 1회 이상 진행하도록 구체화한다.
기존에는 내부관리계획에 취약점 점검 방안을 포함하도록 하는 포괄적인 의무가 적용됐다. 앞으로는 점검 주기와 방식을 명확히 정해 기술검증을 정례화한다.
대규모 개인정보를 처리하는 공공기관은 공공 실태점검단의 현장점검도 받을 수 있다. 점검단은 개인정보 관리체계와 접근권한, 접속기록, 암호화 등 안전조치가 실제로 작동하는지 확인한다.
ISMS-P, 예비심사 못 넘으면 본심사 못 받아
정보보호와 개인정보보호 관리체계(ISMS-P) 인증도 서류 중심에서 기술검증 중심으로 바뀐다.
먼저 본심사 전에 예비심사를 실시한다. 개인정보 처리 자산과 외부 인터넷 접점을 파악했는지, 비밀번호와 암호화를 적용했는지, 취약점과 보안패치를 관리하는지 등 핵심항목을 확인한다.
핵심항목을 충족하지 못한 기관은 본심사를 받을 수 없다. 인증심사 비용을 확보하는 데 그치지 않고 시스템과 계정, 자산목록을 먼저 정비해야 한다. 기술심사에는 취약점 진단과 모의침투 방식이 적용된다. 심사원이 문서만 확인하지 않고 시스템의 실제 설정과 작동 상태를 현장에서 검증한다.
인증을 받은 뒤에도 통제 이행 여부를 상시 점검해야 한다. 사고가 발생한 기관은 심사기간과 투입인력을 늘려 사고 원인과 재발방지 조치까지 확인한다.
공공기관의 ISMS-P 인증은 단계적으로 의무화된다. 첫 번째 대상은 여러 기관이 함께 이용하는 단일접속 시스템이다. 정부24처럼 하나의 시스템에 여러 기관이 연결되는 형태가 해당한다.
인증 의무화 규정은 2027년 7월 1일부터 시행된다. 대상 기관은 2028년 12월 31일까지 인증을 받아야 한다. 이후 특정 기관이 독자적으로 운영하는 개별 시스템으로 대상을 넓힌다. 마지막 단계에서는 지방자치단체와 교육청 등에 공통으로 배포한 표준 시스템까지 확대할 계획이다.
황 과장은 “의무대상 기관은 인증 수수료만 준비해서는 안 된다”며 “예비심사의 핵심항목을 통과할 수 있도록 자산과 시스템을 먼저 점검하고 개선해야 한다”고 강조했다.
2026년 공공기관 개인정보 보호정책의 핵심은 사고 이후 처분보다 사고 전 예방에 있다. 공공기관은 유출사고 감점을 피하기 위한 문서 준비가 아니라 취약점 점검과 내부자 권한 관리, 기관장 보고, 인력·예산 확보가 실제로 작동하는지를 입증해야 한다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
