개인정보 유출 사고를 낸 공공기관에 대한 패널티가 대폭 강화된다. 개인정보보호위원회(위원장 송경희)는 지난 4월 8일 전체회의를 열고 '2026년 공공기관 개인정보 보호수준 평가 추진계획'을 확정했다고 밝혔다.
이번 평가는 공공기관의 개인정보 보호 역량을 실질적으로 높이기 위해 마련됐다. 특히 유출 사고와 부실 대응에 대해 엄중한 책임을 물어 사고 발생 시 감점 최대치를 기존 10점에서 20점으로 두 배로 올렸다. 사고 발생 이후 후속 조치가 미흡한 경우에도 최대 5점의 추가 감점을 부과하기로 했다.
사전 예방 조치도 한층 강화된다. '개인정보 유출 등 사고 예방과 대응 노력' 지표가 신설돼 모의해킹을 포함한 취약점 점검 실적이 정성 평가에 반영된다. 내부 직원에 의한 유출을 막기 위해 '내부자 보안'을 올해의 테마 지표로 선정, 집중 점검을 실시한다. 아울러 기관장의 보호 노력을 평가하는 지표 배점을 높여 기관 차원의 예방 체계 구축을 독려할 계획이다.
평가의 변별력도 높인다. 자체평가를 수행하는 소속기관과 교육지원청의 경우 '보통(90점 이상)', '일부 미흡(80~90점)', '미흡(80점 미만)'의 3등급 체계로 전환해 '미흡' 기관 명단을 공개한다. '일부 미흡' 및 '미흡' 기관에는 보완 조치서를 제출받도록 했다. 전문가가 참여하는 심층평가(정성지표) 비중을 전체의 50%로 확대하고, 평가 시스템 선정 기준을 위반하면 감점을 주는 등 실질적인 보호 수준을 검증하게 된다.
올해 평가 대상은 총 1464개 기관으로 중앙행정기관과 그 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도교육청, 학교, 특수법인 등이 망라된다. 본격 평가는 올해 9월부터 내년 3월까지 서면 평가와 현장 검증을 거쳐 진행되며, 최종 결과는 전문가 평가단의 검증을 받아 내년 4월 공식 발표된다.
평가 결과 우수 기관과 담당자에 대해서는 포상이 확대된다. 기관 자체 포상도 활성화될 수 있도록 주무 부처에 우수 담당자 명단을 통지할 예정이다. 반면 미흡 기관에는 개선 권고와 이행 점검이 이뤄진다.
개인정보위는 이와 관련해 오는 6월부터 9월까지 권역별 설명회를 열고 평가 편람을 온·오프라인으로 배포한다. 특히 평가 결과가 미흡하거나 현장 자문을 희망하는 기관에는 1대1 맞춤형 현장 컨설팅을 제공해 실질적인 개선을 지원한다. 평가 담당자들이 업무에 참고할 수 있는 우수사례집도 배포할 예정이다.
양청삼 개인정보위 사무처장은 "최근 공공기관에서도 유출 사고가 잇따르는 만큼 공공부문의 안전 관리 체계가 강화돼야 한다"며 "평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 컨설팅 등 체계적인 지원을 통해 공공부문 전체의 안전 관리 수준을 높여 나가겠다"고 강조했다.
