[폴리뉴스 이상명 기자] 국가 주요 기관에서 유출되는 개인정보 건수가 1년 새 수백만 건씩 늘어나면서, 정부와 공공기관의 개인정보 보호 체계가 매우 심각하다는 우려가 나오고 있습니다. 특히 수조 건에 달하는 민감한 정보를 쥐고 있으면서도 보호 예산이나 전담 인력이 턱없이 부족한 기관이 여전히 많은 것으로 드러났습니다.
24일 국회 정무위원회 소속 더불어민주당 이정문 의원이 개인정보보호위원회에서 제출받은 ‘최근 3년간 국가기관 개인정보 유출 현황’에 따르면 공공부문 개인정보 유출은 2022년 65만 건에서 2023년 352만 건, 2024년에는 391만 건으로 크게 뛰었습니다. 불과 2년 만에 6배 넘게 늘어난 셈입니다.
같은 기간 신고 건수도 △2022년 23건 △2023년 41건 △2024년(7월 기준) 104건으로 빠른 증가세를 보였습니다. 올해만 해도 7월까지 이미 91만 건의 개인정보가 새어나간 것으로 파악됐습니다.
유출이 발생한 공공기관은 국회, 법원, 헌법재판소, 중앙선거관리위원회, 중앙행정기관 및 그 산하기관 등, 사실상 국가 운영의 핵심 역할을 하는 곳들입니다. 이들 기관에서 새어나간 개인정보는 이름, 주민등록번호, 주소, 전화번호는 물론 진료기록, 재산정보, 학적 정보 등 매우 민감한 정보들이 많았습니다.
전문가들은 이런 유출 건수 급증의 원인으로 최근 개인정보보호법 개정으로 인한 신고 의무 강화도 꼽습니다. 2023년 9월부터 바뀐 법에 따라 고유식별정보나 해킹 등으로 유출이 발생하면 1건이라도 반드시 신고해야 해서, 이전에는 숨겨졌던 사례들이 드러나고 있다는 분석입니다.
하지만 신고 의무 강화만으로 모든 것을 설명하긴 어렵습니다. 개인정보위 집계에서 가장 대규모 유출을 기록한 곳은 2023년 7월 경기도교육청으로, 한 번에 무려 297만 건의 개인정보가 빠져나갔습니다. 이밖에도 △2024년 9월 한국사회복지협의회 135만 건 △2023년 10월 경북대학교 70만 건 △서울대병원 68만 건 △2024년 6월 전북대학교 32만 건 등 대형 유출 사례가 계속 터지고 있다.
더 큰 문제는 이들 기관이 보유한 개인정보의 규모입니다. 현재 공공기관이 보유한 개인정보는 무려 757억 건에 이른다. 이 가운데 중앙행정기관이 303억 건, 기초지자체 44억 건, 광역지자체 12억 건, 교육기관이 29억 건을 차지한다. 국민 한 명당 수백 건의 정보가 국가기관에 저장돼 있는 셈이다.
이처럼 방대한 정보를 안전하게 관리할 예산이나 인력은 턱없이 부족한 상황입니다. 개인정보위가 올해 전국 공공기관을 대상으로 실시한 ‘2024년 개인정보 보호수준 평가’ 자료를 보면, 개인정보 보호 예산이 1천만 원 이하인 곳이 83곳(전체의 10.4%)에 달했습니다. 아예 예산이 없는 기관도 일부 있었습니다.
이정문 의원은 “국가기관이 수천억 건에 이르는 개인정보를 갖고 있으면서도 막상 그 보호를 위한 예산이나 전담 인력이 없는 곳이 많다”면서 “정보 유출은 곧 국민의 권리 침해로 이어지는 만큼, 보호 조직과 예산 확보를 법으로 의무화할 필요가 있다”고 강조했다.
실제로 최근 발생한 개인정보 유출 사고 상당수는 해킹 같은 외부 공격이 아니라 내부 보안 시스템의 허술함이나, 직원의 부주의, 클라우드 관리 소홀 등에서 비롯된 것으로 나타났습니다. 특히 내부 직원의 계정 도용이나 부정 사용 같은 문제는 기술만으로 막기가 쉽지 않아 어려움이 크다.
전문가들은 공공기관이 민간기업보다 보안 투자에 소극적이라는 점도 지적합니다. 민간 기업은 정보보호 예산이 전체 IT 예산의 8~10% 수준이지만, 공공기관은 2~3%밖에 안된다.
서울의 한 국립대 정보보호 담당자는 “보안 강화를 다들 절실하게 느끼지만, 연간 보호 예산이 수백만 원 수준에 불과한 기관도 적지 않다”며 “외부 해킹 막기도 버거운데, 기본적인 보안 솔루션 유지조차 힘들다”고 현실을 토로했다.
일부에서는 개인정보가 유출된 기관에 대해 더 강한 징벌적 과태료와 행정 제재가 필요하다는 목소리가 점점 커지고 있다. 지금은 공공기관이 개인정보를 유출해도 법적 책임이 비교적 가볍게 넘어가는 경우가 많아, 사후 관리가 느슨해질 수 있다는 우려가 나온다.
개인정보위원회도 공공기관의 보안 수준을 높이기 위한 방안을 검토하고 있다. 위원회 관계자는 “보호 수준 평가 항목을 현실에 맞게 다시 조정하고, 전담 인력 확보나 교육 체계 마련을 위한 가이드라인도 추가로 살펴보고 있다”고 설명했다.
