앞으로 공공기관이 개인정보를 유출하거나 사고 대응을 소홀히 하면 받게 될 패널티가 크게 강화된다.
개인정보보호위원회(위원장 송경희)는 4월 8일 전체회의를 열고 '2026년 공공기관 개인정보 보호수준 평가 추진계획'을 확정했다고 밝혔다. 이번 평가는 법적 의무 이행 여부와 전반적인 보호 노력을 점검해 공공기관의 개인정보 관리체계를 내실화하고 보호 역량을 높이기 위해 마련됐다.
특히 올해 평가의 가장 큰 변화는 유출 사고에 대한 책임을 대폭 강화한 점이다. 개인정보 유출 사고가 발생할 경우 기존에는 최대 10점이 감점됐지만, 앞으로는 최대 20점으로 두 배가 늘어난다. 사고 이후 사후 대응 조치가 미흡한 경우에도 건당 최대 5점을 추가로 감점한다. 이는 유출 사고에 대한 기관의 경각심을 높이고 책임을 명확히 하기 위한 조치다.
사전 예방 체계도 대폭 강화된다. '개인정보 유출 등 사고 예방과 대응 노력' 지표가 신설돼 모의해킹을 포함한 취약점 점검 실적이 평가에 반영된다. 내부 직원에 의한 유출을 막기 위해 '올해의 테마' 지표로 '내부자 보안'을 선정, 집중 점검을 실시한다. 아울러 기관장의 보호 노력을 평가하는 지표 배점을 높여 기관 차원의 예방 체계 마련을 유도할 계획이다.
평가의 변별력도 높아진다. 소속기관과 교육지원청에 대해서는 등급 체계를 단순화해 '보통(90점 이상)', '일부 미흡(80점~90점)', '미흡(80점 미만)'의 3단계로 나누고, '미흡' 등급을 받은 기관의 명단을 공개한다. '일부 미흡'과 '미흡' 등급 기관은 보완 조치서를 제출해야 한다. 전문가가 참여하는 심층 평가(정성 지표) 비중을 50%로 확대하고, 평가 시스템 선정 기준을 지키지 않으면 감점을 부여해 실질적인 보호 수준을 검증한다.
올해 평가 대상은 총 1,464개 기관이다. 중앙행정기관 51개와 그 소속기관 453개, 광역 및 기초 지방자치단체 243개, 공공기관 342개, 지방공사·공단 168개, 시도교육청과 교육지원청 193개, 학교·특수법인 10개, 공공시스템 운영기관 4개 등이 포함된다.
평가는 오는 9월부터 내년 3월까지 서면 평가와 현장 검증을 거쳐 진행된다. 최종 결과는 전문가 평가단의 검증을 거쳐 2027년 4월에 발표될 예정이다. 평가가 우수한 기관과 담당자에게는 포상이 늘어나고, 기관 자체 포상도 활성화되도록 주무 부처에 우수 담당자를 통지한다. 반대로 미흡 기관에는 개선 권고와 이행 점검이 이뤄진다.
개인정보위는 평가 준비를 지원하기 위해 6월부터 9월까지 권역별 설명회를 열고 평가 편람을 온·오프라인으로 배포한다. 특히 평가 결과가 미흡하거나 현장 자문(컨설팅)을 희망하는 기관을 대상으로 1대1 맞춤형 컨설팅을 제공해 실질적인 개선을 돕는다. 아울러 평가 담당자들이 업무에 참고할 수 있도록 우수사례집도 배포할 계획이다.
양청삼 개인정보위 사무처장은 "최근 공공기관에서도 유출 사고가 잇따르는 만큼 공공 부문의 안전 관리 체계가 강화되어야 한다"라며, "평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 자문 등 체계적인 지원을 통해 공공 부문 전체의 안전 관리 수준을 높여 나가겠다"라고 강조했다.
한편 이번 평가에서는 정량 지표와 정성 지표가 각각 50점씩 반영된다. 정량 지표는 개인정보 관리체계, 정보주체 권리보장, 개인정보 안전조치 등 40개 항목으로 구성되며, 정성 지표는 인력·조직·예산, 시스템 및 파일 관리, 기관장 노력, 위·수탁 관리, 사고 예방과 대응 등 6개 항목으로 이뤄진다. 여기에 AI 등 신기술 환경에서의 개인정보 보호 노력에 대해 최대 10점의 가점이 부여된다.
감점 항목도 다양해졌다. 유출 사고 외에도 과징금·과태료·시정명령 등 행정 제재를 받은 경우 건당 최대 5점, 평가를 방해하는 행위는 최대 20점, 개인정보처리시스템 선정 기준을 위반하면 최대 5점, 전년도 개선 권고를 이행하지 않으면 최대 20점이 감점된다. 이는 평가가 단순한 형식 평가가 아닌 실질적인 보호 역량을 측정하는 도구로 자리잡도록 하기 위한 것이다.
