공공부문 개인정보보호 강화를 위한 제도 개선 추진

- 외부 해킹 예방 위해 주요시스템 대상 취약점 점검 및 침투테스트 의무화 

- 유출사고 발생 시 평가 감점 확대 및 징계 권고 강화

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 3월 25일(수) 제5회 전체회의에서「공공부문 개인정보보호 강화를 위한 제도개선 추진 방안」을 보고하였다.

  공공부문의 개인정보 유출 신고는 '21년부터 '25년까지 지속적으로 증가하는 추세로, 5년간 전체 유출규모의 95%가 외부 해킹에 의한 유출에 해당하며, 신고건수 기준으로는 인적 과실에 의한 유출이 61%를 차지하고 있다.

 < 취약점 점검·침투테스트 의무화로 예방 탐지 강화 >

  이에 외부 해킹으로 인한 유출사고를 예방하기 위하여 개인정보위가 지정한 주요 공공시스템(이하 '집중관리시스템*')을 대상으로 개인정보 보호 수준을 강화할 계획이다. 앞으로 집중관리시스템은 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 각각 연 1회 이상 추가 시행하고, 점검 결과 확인된 취약점은 지체 없이 보완 및 개선하여야 한다.

  * 58개 기관, 387개 시스템 지정

  개인정보위는 이러한 내용을 담은 「개인정보의 안전성 확보조치 기준」(고시)을 즉시 개정하고 내년부터 시행할 방침이다.

 < 적극적 시정명령 및 보호수준 평가 연계 강화 >

  또한 개인정보위는 인적 과실에 의한 개인정보 유출에 대하여 종전에는 재발방지 및 주의 촉구 등을 통하여 개선을 유도하였으나, 앞으로는 시정명령을 적극 부과하며, 2026년도 공공기관 개인정보 보호수준 평가*' 시 보호법 위반으로 처분(시정명령 포함)받은 공공기관에 대한 감점을 대폭 확대하여 처분에 대한 실효성을 높일 계획이다.

  * 「개인정보 보호법」 제11조의2에 따라 공공기관의 개인정보보호 관련 의무 준수 여부 및 기관장 노력 등을 평가하는 제도로, 구체적인 평가 기준 등은 '26. 上 발표 예정

 < 징계권고 기준 상향 >

  현재 개인정보위 내부지침으로 운용 중인 '개인정보보호 법규 위반에 대한 징계권고 기준'을 고시로 격상하여 대외적 효과를 강화하는 한편, 개인정보보호 담당에 대한 포상·인센티브 지급 등의 방안도 적극 검토할 예정이다. 

 < 맞춤형 콘텐츠 제작 및 교육 강화 >

  마지막으로 개인정보위는 공공부문에서 자주 발생하는 오입력, 오발송, 오공개 등 반복 사례 및 우수 사례를 중심으로 개인정보보호 맞춤형 교육 콘텐츠를 제작·배포하고, 2026년도 보호수준 평가 권역별 설명회와 연계한 담당자 교육을 실시하여 현장 실무자의 개인정보보호 예방 역량을 높여 나간다.

  공공기관이 국민의 개인정보를 대규모로 처리하는 만큼, 개인정보위는 공공부문 사고 특성에 맞는 예방 중심의 관리체계를 강화해 나갈 계획이다. 아울러 해킹 등 외부 위협과 인적 과실에 각각 효과적으로 대응할 수 있는 제도 개선을 통해 공공영역 전반의 실질적인 개인정보보호 수준을 높여 나갈 방침이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 전재영(02-2100-3106)