급증하는 사이버위협, 民官 여전한 개인정보보호 불감

세계적으로 급증한 사이버위협으로 국내 주요 정부기관이나 민간기업에서도 연달아 개인정보 유출사고가 발생하고 있다.

수년간 개인정보보호위원회(이하 개인정보위)는 끊임없이 개인정보 보호의 중요성을 알리고 정보보호 의무를 이행하지 않는 조직을 대상으로 과징금과 과태료를 부과해 왔다.

그럼에도 여전히 수많은 정부부처와 기업에서 기존과 유사한 개인정보 유출 사고가 반복되고 있는 현 상황에 대한 비판은 피하기 어려운 상황이다.

9일 관련 업계에서는 공공기관과 기업에 만연한 개인정보 안전불감증을 개선하기 위한 대책이 필요하다는 목소리가 커지고 있다.

개인정보위에 따르면 2020년 8월 출범 이후 3년간 총 64회의 전체회의와 총 142회의 소위원회를 개최해 개인정보 보호 법규위반에 대한 개인정보 침해 요인을 평가했다.

지난 3년간 과징금 85건, 과태료 459건, 시정명령·시정권고 357건 등의 처분이 내려졌다. 주요 위반 내용은 안전조치 미흡이 344건으로 가장 많았으며, 유출통지 신고의무 위반이 80건, 개인정보 파기의무 위반 71건이었다.

이를 통해 개인정보위는 총 1천380억 원의 과징금과 26억 원의 과태료 처분을 해온 것으로 나타났다.

주요 과징금 처분 사례로는 엘지유플러스가 68억 원, 한국맥도날드가 6억 9천만 원, 밀리의서재 6억 8천만 원의 과징금을 지불했으며, 이 밖에도 이루다, 메타 등 국내외 기업들이 목록에 올랐다.

목록에 오른 기업 중 일부는 수년간 연달아 목록에 오르는 등 보안 시스템에 문제가 있음을 지적 받았음에도 개선이 이뤄지지 않았다. 고객 개인정보가 외부 공격에 유출될 우려가 있다는 것을 사전에 알고 있었음에도 방치하고 있었던 셈이다.

또한 공공기관을 비롯해 대규모 병원 등 국민의 공공 이익을 담당하는 기관 역시 개인정보 관리 수준이 미흡하거나 정보를 오남용해 과태료를 부과한 사례도 대거 나타났다.

개인정보위는 한국도로공사서비스 등 12개 공공기관에 개인정보보호법을 위반으로 과태료를 부과했다.

개인정보위는 개인정보 관리수준 미흡 판정을 받은 20개 공공기관을 대상으로 지난해 10월부터 12월까지 조사를 실시했다. 개인정보 오남용의 근원이 되는 개인정보 처리시스템의 접근권한 관리, 접속기록, 계정 관리 부분을 중점 점검한 결과, 12개 기관에서 안전조치 의무를 다하지 않은 사실을 확인했다고 밝혔다.

또한 개인정보보호 법규를 위반한 국내 종합병원 17곳에 대해 과태료 부과 및 개인정보 처리실태에 대한 개선을 권고했다.

해당 병원들은 대부분 개인정보취급자가 개인정보처리시스템에 접속한 기록을 2년 이상 보관하지 않거나, 개인정보 다운로드 사유 등의 확인 및 접속기록에 대해 월 1회 이상 점검을 진행하지 않은 것으로 나타났다.

또한, 일부 병원은 권한 없이 개인정보처리시스템에 접속할 수 있는 취약점이 발견되기도 했다.

개인정보위는 “접근권한 관리, 통제 등은 개인정보보호를 위한 기본적인 사항으로 민감정보를 대량으로 처리하는 기관의 개인정보 보호에 대한 인식 제고의 중요성이 필요하다”며 “사이버위협에 대응하기 위해 각 조직에서 주기적인 개인정보 보호 교육과 지속적인 관리체계를 마련할 필요가 있다”고 전했다.

보안업계에서는 정부의 규제만으로는 지속되는 개인정보 유출을 막기 어려울 것으로 지적했다. 그보다 개인정보 등 민감정보의 중요성을 알려 사용자들이 이에 대한 관심을 쏟고 기업에 영향을 미칠 수 있게 하는 것이 더 효과적일 수 있을 것이란 의견이다.