공공부문 주요 시스템에 대한 취약점 점검과 침투테스트가 의무화되고, 개인정보 유출 시 평가 감점과 징계 권고가 대폭 강화된다.
개인정보보호위원회는 공공부문 개인정보보호 강화를 위해 주요 시스템 대상 취약점 점검과 침투테스트 의무화, 유출사고 시 제재 강화 등을 추진한다고 26일 밝혔다.
개인정보위는 외부 해킹으로 인한 개인정보 유출을 예방하기 위해 '집중관리시스템' 387개를 대상으로 연 1회 이상 취약점 점검과 외부 전문가 기반 침투테스트를 실시하도록 한다. 점검 결과 확인된 취약점은 즉시 보완해야 한다.
이에 필요한 '개인정보의 안전성 확보조치 기준' 고시를 즉시 개정하고 내년부터 시행할 계획이다.
이번 조치는 공공부문 개인정보 유출 증가에 대응하기 위한 것이다. 2021년부터 2025년까지 전체 유출 규모의 95%가 외부 해킹에 따른 것으로 나타났다. 신고 건수 기준으로는 인적 과실이 61%를 차지했다.
제재 체계도 강화된다. 개인정보위는 인적 과실에 의한 유출에도 적극적으로 시정명령을 부과할 방침이다. 2026년 공공기관 개인정보 보호수준 평가에서 법 위반 기관에 대한 감점도 확대한다. 구체적 평가 기준은 상반기 중 발표할 예정이다.
징계 권고 기준도 상향된다. 기존 내부지침이던 '개인정보보호 법규 위반 징계권고 기준'을 고시로 격상해 대외적 효력을 강화한다. 개인정보 보호 담당자에 대한 포상·인센티브 방안도 검토한다.
현장 대응 역량 강화를 위한 교육도 확대한다. 오입력, 오발송, 오공개 등 반복 사례 중심의 맞춤형 교육 콘텐츠를 제작·배포한다. 보호수준 평가 권역별 설명회와 연계한 담당자 교육도 추진한다.
박진형 기자 jin@etnews.com
