앞으로 개인정보를 유출한 공공기관은 더 무거운 패널티를 받게 됩니다. 개인정보보호위원회는 4월 8일 전체회의를 열고 공공부문의 실질적인 개인정보 보호 역량을 높이기 위한 '2026년 공공기관 개인정보 보호수준 평가 추진계획'을 확정했습니다.
이 평가는 「개인정보 보호법」 제11조의2에 따라 공공기관이 법적 의무사항을 제대로 이행하는지, 개인정보 보호를 위해 얼마나 노력하는지 종합적으로 평가하는 제도입니다. 2024년부터 시행됐으며, 올해는 특히 유출 사고와 부실 대응에 대해 엄중한 패널티를 적용하기로 했습니다.
가장 큰 변화는 개인정보 유출 사고에 대한 감점 최대치를 기존 10점에서 20점으로 두 배로 올린 점입니다. 사고가 발생한 후 사후 대응 조치가 미흡한 경우에도 최대 5점의 감점을 추가로 부과합니다. 이는 공공기관이 사고 발생 시 책임을 회피하지 않고 신속하고 적절하게 대응하도록 유도하기 위한 조치입니다.
또한 해킹 등 사이버 위협에 선제적으로 대응하기 위해 '개인정보 유출 등 사고 예방과 대응 노력'이라는 새로운 평가 지표가 도입됩니다. 이 지표에서는 모의해킹을 포함한 취약점 점검 실적을 정성적으로 평가에 반영합니다. 내부 직원에 의한 유출 사고를 막기 위해 '내부자 보안'을 올해의 테마 지표로 선정해 집중 점검합니다.
기관장의 보호 노력을 평가하는 지표 배점도 높였습니다. 기관 차원에서 사전 예방 체계를 마련하도록 독려하기 위한 것입니다. 평가의 변별력을 높이기 위해 자체평가를 수행하는 소속기관과 교육지원청에 대해서는 '보통(90점 이상)', '일부 미흡(80점~90점)', '미흡(80점 미만)'의 3등급 체계로 전환합니다. '미흡' 등급을 받은 기관의 명단은 공개되며, '일부 미흡'과 '미흡' 기관은 보완 조치서를 제출해야 합니다.
전문가가 참여하는 심층평가(정성지표) 비중도 50%로 확대했습니다. 평가 시스템 선정 기준을 지키지 않으면 감점을 줘 실질적인 보호 수준을 검증할 계획입니다. 올해 평가 대상은 총 1,464개 기관으로, 중앙행정기관과 그 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도교육청, 학교, 특수법인 등이 포함됩니다.
본격적인 평가는 올해 9월부터 내년 3월까지 서면 평가와 현장 검증을 거쳐 진행됩니다. 최종 결과는 전문가 평가단의 검증을 받아 내년 4월에 공식 발표됩니다. 평가 결과가 우수한 기관과 담당자에 대해서는 포상을 확대하고, 기관 자체 포상도 활성화할 수 있도록 주무 부처에 우수 담당자를 통지할 예정입니다.
미흡 기관에 대해서는 개선 권고와 이행점검을 실시합니다. 개인정보위는 오는 6월부터 9월까지 권역별 설명회를 열고 평가 편람을 온·오프라인으로 배포할 계획입니다. 특히 평가 결과가 미흡하거나 현장 자문(컨설팅)을 원하는 기관을 대상으로 1대1 맞춤형 현장 자문을 제공해 실질적인 개선을 지원합니다. 평가 담당자들이 업무에 참고할 수 있도록 우수사례집도 배포합니다.
양청삼 개인정보위 사무처장은 "최근 공공기관에서도 유출 사고가 잇따르는 만큼 공공부문의 안전 관리체계가 강화되어야 한다"며 "평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 자문 등 체계적인 지원을 통해 공공부문 전체의 안전관리 수준을 높여 나가겠다"고 강조했습니다.
한편 이번 평가의 세부 지표를 살펴보면, 정량 지표 40개(50점)와 정성 지표 6개(50점)로 구성됩니다. 정량 지표는 개인정보 관리체계(5개), 정보주체 권리보장(7개), 개인정보 안전조치(28개) 분야로 나뉩니다. 정성 지표는 개인정보보호 인력·조직 및 예산(10점), 개인정보처리시스템 및 파일 관리의 적절성(10점), 기관장 노력(10점), 정보주체 권리 보장의 적절성(5점), 위·수탁 관리의 적절성(5점), 유출 등 사고 예방과 대응 노력(10점) 등입니다.
가점 항목으로는 AI 등 신기술 환경에서 개인정보의 안전한 활용 및 리스크 관리 노력에 대해 최대 10점이 부여됩니다. 감점 항목은 다양합니다. 개인정보 유출 사고는 건당 최대 20점, 기타 개인정보 관련 사건·사고는 건당 최대 10점, 유출 사고 대응 조치 미흡은 건당 최대 5점이 감점됩니다. 과징금·과태료·시정명령 등 행정 제재를 받은 경우 건당 최대 5점, 평가 방해 행위(유출 신고 고의 누락, 현지 실사 방해 등)는 최대 20점, 자체평가 보고서 제출 절차 미준수는 최대 5점, 개인정보처리시스템 선정 기준 미준수는 최대 5점, 전년도 평가 결과 개선 권고 미이행은 최대 20점이 감점됩니다.
평가 대상 기관은 중앙행정기관 51곳, 소속기관 453곳, 지방자치단체(광역 17곳, 기초 226곳), 공공기관 342곳, 지방공기업 168곳, 시도교육청 17곳 및 교육지원청 176곳, 학교·특수법인 10곳, 공공시스템 운영기관 4곳 등 총 1,464개입니다. 중앙행정기관으로는 고용노동부, 과학기술정보통신부, 교육부, 국방부, 행정안전부 등 19개 부와 국가데이터처, 법제처, 식품의약품안전처 등 6개 처, 경찰청, 관세청, 국세청 등 18개 청, 감사원, 공정거래위원회, 금융위원회 등 8개 위원회가 포함됩니다.
광역자치단체는 서울특별시 등 8개 시와 경기도 등 9개 도가 대상이며, 기초자치단체는 전국 226개 구·시·군이 포함됩니다. 공공기관은 한국전력공사, 한국가스공사, 국민건강보험공단, 한국철도공사 등 342곳, 지방공기업은 각 지방자치단체 산하 도시공사, 시설관리공단 등 168곳입니다. 교육행정기관은 17개 시도교육청과 176개 교육지원청이 포함되며, 학교·특수법인으로는 경북대학교, 한국방송공사, 한국과학기술원 등 10곳이 평가를 받습니다.
개인정보위는 이번 평가를 통해 공공기관의 개인정보 관리체계를 내실화하고 보호 역량을 실질적으로 향상시키는 것을 목표로 하고 있습니다. 특히 유출 사고에 대한 강력한 패널티와 예방 지표 도입을 통해 사고를 사전에 차단하고, 사고 발생 시 신속하고 적절한 대응을 유도할 방침입니다.
