개인정보위 제15회 전체회의 결과

<강대현 개인정보보호위원회 조사총괄과장>
공공분야 개인정보 보호 강화 방안에 대해서 설명드리도록 하겠습니다.

먼저, 상반기에 진행되었던 국민 데이터 대규모 처리 공공시스템에 대한 안전조치 실태점검 결과 및 개선 권고사항을 설명드리도록 하겠습니다.

위원회는 9월 11일 어제 제15회 전체회의에서 부동산·지방세 등 전국 공통 사용 분야 민원시스템 총 35개와 해당 운영기관에 대한 안전조치를 보다 강화하는 개선 권고를 의결하였습니다.

개인정보... 이번 점검은 오는 9월 15일부터 공공기관에 대해서 시행되는 안전조치 특례의 시행을 앞두고 선제적으로 취약점을 개선하고 계도하기 위한 목적으로 추진된 바 있습니다.

위원회는 국민들이 대규모 데이터를 처리하는 공공시스템의 개인정보 유출로 사회적으로 심각한 피해가 발생하는 문제를 해결하기 위해 관계기관 합동으로 그간 공공기관 유출 방지 대책과 집중관리시스템 개인정보 안전조치 강화 계획을 수립한 바 있으며 지난해부터 3년간의 기간으로 집중관리시스템에 대한 실태점검을 진행 중에 있습니다.

올해는 실태점검 2년 차로서 중앙과 지방이 함께 이용하는 공공분야 표준배포시스템을 대상으로 개인정보 안전조치 강화 계획상의 4대 분야 10대 이행 과제를 중점적으로 점검하였습니다.

세부적으로는 개인정보 관련 협의회의 설치, 시스템별 책임자의 지정, 안전조치 방안 수립, 권한 없는 자의 접근 방지를 위한 인사정보 연계, 접속기록 점검 등이 되겠습니다.

세부적인 내용을 설명드리도록 하겠습니다.

구체적으로 살펴보면 인사정보 연계 기능의 경우 7종의 시스템 중 5종이 구현되어 상대적으로 양호한 것으로 나타났으며 협의회의 설치는 94%, 책임자 지정은 97%, 안전조치 방안 수립은 66%, 전담인력 보유는 1.7명 수준으로 이용기관의 관리적 보호체계도 2023년 기준에 비해서 빠르게 개선되고 있는 것으로 확인되었습니다.

다만, 접근권한의 현행화는 29% 수준이고 비공무원 계정 발급 절차 도입 같은 것들의 이행률이 다소 저조하고 내부 이용자의 접속기록 관련 특이사항을 모니터링하는 이상 행위 탐지, 사전승인·사후보고 절차 등의 도입은 이행이 더뎌서 추가적인 개선이 필요한 것으로 확인되었습니다.

위원회는 35개 시스템 운영·이용기관들의 점검 결과에 따라 상대적으로 이행 개선이 용이한 협의회 설치나 시스템별 책임자 지정 접근권한 현행화, 비공무원 계정 발급 절차 등의 사항은 올해 안에 개선을 마치도록 권고하는 한편, 예산 범위 내에서 시스템 개선이 필요한 사항들은 올해 안에 긴급하게 조치하고 추가적인 예산 확보 등을 통해 내년에 시스템 개선 등을 마무리할 수 있도록 개선을 권고하였습니다.

위원회는 이러한 10대 안전조치 이행 과제가 오는 9월 15일부터 법적으로 의무화되는 만큼 공공기관들의 개인정보 관리 및 보호에 각별한 주의를 당부하고 앞으로도 이행점검 및 실태점검을 계속할 계획입니다.

두 번째로, 9월 15일부터 시행되는 개인정보보호법 시행령 시행 사항에 대해서 설명드리도록 하겠습니다.

오는 9월 15일부터는 개인정보 처리시스템을 보유·운영 중인 정부 부처 산하기관은 기존의 안전조치 의무 외에도 추가적인 안전조치 의무를 준수하게 됩니다. 이는 개인정보보호법 시행령이 작년 9월 15일에 개정되었으나, 준비 기간 필요에 따라서 1년간의 시행을 유예하였고 오는 9월 15일부터 법이 전면적으로 시행되게 됩니다.

대상은 일정 규모 개인정보를 보유한, 예를 들어서 100만 명 이상, 또 200명 이상의 개인정보 취급자를 보유하거나 민감정보, 고유식별정보 등을 처리하는 381개 시스템이 되도록 하겠습니다. 세부적인 4대 분야 10대 점검 사항은 앞에 설명드린 내용을 참고해 주시기 바랍니다.

앞으로는 공공기관에 대해서 안전조치 사항을 위반하는 경우는 과태료가 부과될 수 있으며 개인정보 유출과 연계되는 경우는 과징금이 부과되게 됩니다.

아울러, 작년 9월 15일 이후에 공공기관의 개인정보 유출 신고 대상이 확대된 바 있습니다. 그간의 사항들 좀 설명드리도록 하겠습니다.

2024년 상반기 유출 신고는 공공기관이 16건이었고요. 올해 상반기는 62건으로 전년 대비 3.8배가량 공공기관의 개인정보 유출 신고가 증가하였습니다.

주된 이유는 보호 법령이 개정된 것이 주된 내용이 되겠습니다. 종전에는 공공기관의 경우에는 개인정보 유출 1,000건 이상의 경우만 우리 위원회의 신고 대상이었으나 고유식별번호나 민감정보가 1건 이상 유출되거나 해킹 등의 불법 접근에 의해서 개인정보가 1건 이상만 유출되어도 개인정보위원회에 신고하도록 법적 기준이 그간 강화된 바 있습니다.

이에 따라서 공공분야 유출신고 건수도 크게 증가하였습니다. 이를 통해서 법 적용의 사각지대를 최소화하고 공공기관들의 처분 확대 등을 통해서 유출 예방 노력을 지속할 수 있도록 유도해 나가도록 하겠습니다.

이러한 집중관리 시스템에 대한 조치 외에도 그간 개인정보위원회에서는 안전조치 위반으로 개인정보를 유출할 경우로 과태료에서 과징금으로 상향하는 내용을 개정하였으며, 또 개인정보 고의 유출, 부정 이용 등으로 국민들에게 중대한 2차 피해가 발생할 경우 파면·해임 등이 가능하도록 원 스트라이크 아웃제 도입, 또 개인정보 부정 이용 시에 형사처벌 조항들도 함께 도입한 바 있습니다.

위원회는 9월 15일부터 주요 공공기관의 운영시스템의 보호 법령, 안전조치 의무가 강화됨에 따라서 적용 대상이 되는 공공기관들에 대해서 각별하게 주의를 요구하고 유출신고 의무대상 확대, 안전조치 의무 강화, 제재 수위 상향 등 일련의 조치 등을 통해서 공공기관들의 개인정보 유출 사고 발생 시에 엄정하게 조사·처분함으로써 공공기관들이 개인정보를 보다 안전하게 보호할 수 있도록 노력하고 유도할 계획입니다.

이상 설명을 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 공공분야 점검 관련하여서 10대 항목별 이행 사항 항목이 있는데 그중에서 사전승인·사후보고 절차 도입은 어떤 것을 의미하는 것인지 설명 좀 부탁드립니다.

<답변> 통상적인 개인정보 접근이 아니고 특이한... 세부적인 내용은 담당자가 설명드리겠습니다.

<답변> (관계자) 말씀드리겠습니다. 사전승인·사후소명의 경우는 특이사항으로 점검된 항목이 발생했을 경우에 그것에 대해서 내가 왜, 그 취급자가 내가 왜 어떤 이유로 이 개인정보에 접근했는지를 사후에 설명을 하면서 밝힐 수 있거나 아니면 아예 사전에 어떤 목적으로 이런 개인정보 접근을 내가 할 수밖에 없다, 라고 소명을 하고 승인을 받는 그런 절차를 의미합니다.

<질문> 한 가지만 더 여쭈려고 하는데, 보도자료 1페이지에 3년간 지금 이행실태를 집중 점검 중이라고 돼 있는데 단일 접... 주민등록 연계 단일접속시스템과 그리고 표준배포시스템과 그리고 개별시스템에 대해서 용어 설명 좀 부탁드려도 될까요?

<답변> 표준배포시스템은 오늘 나온 것처럼 시도 세무행정시스템처럼 중앙행정기관이나 산하기관이 개발해서 시도가 쓸 수 있도록, 이용기관이 쓸 수 있도록 배포해 주는 걸 말하는 거고요.

단일접속시스템 같은 경우는 이용, 자동차시스템같이 부처가 개발하고 부처가 주로 쓰면서 관련 기관들도 함께 참여해서 이용할 수 있도록 하는 그런 시스템이 되겠습니다.

그러니까 표준배포시스템과 단일시스템의 차이는 표준배포시스템은 개발하는 개발자가 쓰기보다는 개발해서 배포해서 다른 이용기관이 쓰는, 쓰도록 하는 시스템이 표준배포시스템, 표준만 개발해 주고, 단일배포시스템은 개발자도 쓰면서 관련자들이 함께 접속하거나 취급해서 쓸 수 있도록 하는 그런 개념의 차이는 있습니다. 규모나 이런 이용 행태는 거의 비슷하긴 합니다.

<질문> 이거 이번에 점검했을 때 35곳 중에서 시스템별 점수는 없나요?

<답변> 항목별로 되겠습니다. 항목별로 돼 있기 때문에 점수화하긴 그렇고, 퍼센... 아까 저희 보도에 나왔던 퍼센티지가 나오긴 하는데, 예를 들어서 건축행정시스템 같은 것들이 7종 중에서 이행률이 제일 높았고요. 하나 빼놓고는, 사전·사후절차 빼놓고는 나머지 항목을 다 이행했었고요.

지자체 같은 경우는 서울시 같은 경우가, 지자체는 항목이 조금 항목이 축소됩니다. 왜냐하면 시스템 자체를 운영하지 않기 때문에. 서울시 같은 것들이 시도 행정시스템 내에서 비교해 봤을 때 9개 중의 8개를 다 이행하고 있어서 2개가 가장 이행률이 높은 것으로 나타났습니다.

<질문> 표준시스템 7개와 그다음에 지자체 28곳이라고 하셨잖아요.

<답변> 네.

<질문> 그런데 여기는 8개인 것 같은데, 표준시스템은. 어떤 게 중복된 건지.

<답변> 교육행정정보시스템은 저희가 작년에 이미 점검했기 때문에, 시스템 자체를. 시스템 점검 대상에서는 제외하고, 교육행정정보시스템을 이용하는 이용기관만 점검했습니다. 그래서 종류는 8종으로 보이는데 실제로 점검한 시스템은 7종이고 이거 이용하는 기관은 28개가 되겠습니다.

설명을 저희가 부기한다는 걸 빼먹은 것 같습니다.

<답변> (사회자) 더 이상 질문이 없으면 다음 이어서 고낙준 신기술개인정보과장이 브리핑하도록 하겠습니다.


<고낙준 개인정보보호위원회 신기술개인정보과장>
안녕하십니까? 개인정보보호위원회 신기술개인정보과장 고낙준입니다.

제가 설명드릴 내용은 개인정보처리시스템에 대한 인터넷망 차단조치 제도개선안에 대해서 설명을 드리도록 하겠습니다.

개인정보보호법은 전년도 말 기준 일일 평균 이용자 수가 100만 명 이상인 개인정보처리자를 대상으로 개인정보처리시스템에서 개인정보를 다운로드 또는 파기하거나 접근권한을 설정하는 컴퓨터 등에 대해 인터넷망 차단조치를 의무화하고 있습니다.

인터넷망 차단조치는 과거 대규모 개인정보 유출 사태에 대한 대책으로 개인정보 분야에 도입된 지 약 10여 년이 흘렀습니다. 그 사이에 인공지능·클라우드와 같은 인터넷 기반 기술이 급격히 발전하였고, 일률적인 인터넷망 차단 조치로 인해 혁신 기술의 활용이 어려워 개선이 필요하다는 의견이 지속적으로 제기되어 왔습니다.

이에 따라 개인정보위원회는 전문가로 구성된 연구반을 구성하여 논의를 시작하였고, 그 결과 인터넷망을 완전 차단하기보다는 위험 요소를 최소화하고 인터넷망을 활용하여 업무 효율을 높일 수 있도록 위험도에 따른 차단 수준 차등 적용, 개인정보처리자의 책임 강화를 통한 보호 수준 저하 방지, 개인정보처리자 지원 강화 등 3대 개선 방안을 마련하였습니다.

첫째, 위험도에 따른 인터넷망 차단 수준을 차등적으로 적용하겠습니다.

앞서 설명드린 바와 같이 현재 개인정보처리시스템에서 개인정보를 다운로드 또는 파기를 하거나 개인정보 접근권한 설정하는 개인정보취급자의 컴퓨터에 대해 인터넷망 차단이 의무화되어 있습니다.

앞으로는 차단 대상 컴퓨터 등의 위험 분석을 통해 취급자 컴퓨터 등을 3단계로 구분하고 차단 수준을 차등 적용할 예정입니다.

개인정보처리자는 내부관리계획에 따라 위험 수준을 구분하여 저위험·중위험 컴퓨터 등에 대하여 인터넷망 차단 수준을 직접 설계할 수 있도록 함으로써 인터넷망 차단 조치 이외에 이와 상응하는 보호 조치하에서 제한된 인터넷망 접속도 가능해질 것입니다.

이에 따라 앞으로 개인정보처리시스템에서 데이터의 가명화·암호화 등 개인정보 유출 방지와 불법적 접근 차단을 위한 적절한 보호 조치를 적용한 경우 인공지능이나 클라우드 등의 기술을 활용할 수 있게 됩니다.

다만, 개인정보처리시스템에 대한 접근권한을 설정하는 고위험 컴퓨터 등은 탈취 시 대규모 개인정보 유출이 우려되므로 기존의 차단조치를 유지할 계획입니다.

앞으로 저·중·고로 구분하는 위험의 기준, 상응하는 보호 조치 등을 전문가, 이해관계자들과 면밀한 논의를 통해 구체화할 예정입니다.

두 번째로, 개인정보처리자의 책임 강화를 통해 보호 수준 저하를 방지하겠습니다.

이러한 인터넷망 차단 조치 완화로 인해 개인정보 보호 수준이 저하되지 않도록 개인정보처리자 스스로가 책임 강화를 통해 보호 수준 저하를 방지해야 합니다.

개인정보위는 처리자 스스로가 컴퓨터, 취급자 현황과 위치, 취급 개인정보의 민감도 등 분석을 통해 적절한 보완 대책을 강구할 수 있도록 유도하는 한편, 수립한 보완 대책이 제대로 운영되는지 점검하고 보완 사항에 대해 주기적으로 재평가하는 등 이를 권고해 나갈 예정입니다.

마지막으로, 개인정보처리자에 대한 지원을 강화하도록 할 계획입니다.

개인정보위는 개인정보처리자가 인터넷망 차단 조치 완화에 따른 상응하는 보호 조치를 효과적으로 적용할 수 있도록 입체적으로 지원을 강화할 계획입니다.

우선, 기술전담반 구성을 하여 상응 보호 조치 적용을 원하는 개인정보처리자에 대해 현황 진단, 애로 상담 등 맞춤형 원스톱 지원 서비스를 제공할 계획입니다.

아울러, 해당 상응 보호 조치가 인터넷망 차단 조치에 상응하는 조치인지 여부를 사전에 검토하여 개인정보처리자의 불확실성을 제거할 예정입니다.

이상 개인정보처리시스템에 대한 인터넷망 차단 조치 제도개선안의 주요 내용을 간략히 설명드렸습니다.

개인정보위는 이번 제도 개선 방향 설정을 시작으로 구체적인 논의에 대해서는 이해관계자들과 면밀한 논의를 거쳐 조속히 마련할 계획입니다.

추가로 설명할 부분 있으면 질의응답을 통해 보다 상세히 설명드리도록 하겠습니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 100만 명 이상의 정보처리를 하는 대상, 이거는 기업도 되고 기관도 되고 다 포함되는 건가요, 그러면?

<답변> 일단은 정보통신서비스 제공자이기 때문에 공공기관이나 그리고 오프라인으로 수집해서 가지고 있는 정보통... 인터넷망을 통해서 하지 않는 사업자는 대상에서 제외되고 인터넷 이용자 수가 100만 명이기 때문에 정보통신망법에 따른 이용자 수가 100만 명 이상인 기업이기 때문에 주로 저희가 생각을 하면 인터넷 관련해서 주요 포털들이나 온라인 쇼핑몰 이런 부분들이 대상이 될 수 있을 겁니다.

<질문> 지금 이것을 기업 사업자가 직접 설계하도록 돼 있잖아요. 그래서 지금 기준을 마련하시겠다, 이렇게 돼 있는데 이거는 언제쯤까지 예정이신지.

<답변> 저희가 가능한 연말 내까지 그런 내용들에 대해서 기준을 마련하고 그리고 고시가 되어 있습니다. 저희는 규정이 고시에 따라서 인터넷망 차단만 하도록 고시돼 있기 때문에 고시를 개정해야지만 이 부분이 이루어집니다. 그래서 고시 개정안을 마련하면서 그 부분에 대해서 관련자들과 구체적인 기준이나 어떻게 할지에 대해 논의할 예정입니다.

<질문> 이게 지금 정부에서 어제 발표한 건 내년 초부터 뭘 하겠다, 망 분리 제도 시행하겠다 하셨는데.

<답변> 네, 그렇습니다.

<질문> 같이 시간은, 거의 타임라인은 같이 가나요, 그러면?

<답변> 저희도 어쨌든 정부, 분야는 다릅니다. 어제 발표한 망 분리 완화는 공공부문에 적용되는 것이고 저희는 민간부문 중에 아까 말씀대로 인터넷 서비스 제공자들에 대해서 한정적으로 하기 때문에 분야는 다르지만 어쨌든 인터넷망 차단 정책이라는 거는 2개가 일맥상통한 측면이 있습니다.

공공부문에서 발표한 것도 결국은 인터넷망을 끊어서 발생하는, 끊어서 일어나는 효과보다는 그걸 연결해서 AI나 외부에 있는 정보 자원을 씀으로써 어떤 편익이 더 크다, 라는 측면에서 내부망에 있는 자료들을 결국 외부 분석 도구와 연결할 수 있도록 일부 허용해 주는 측면이 있습니다. 그런 부분에 대해서는 저희 개선 대책과 공공이나 금융 부문에서 발생할 개선 대책과 사실은 일맥상통합니다.

<답변> (사회자) 그리고 현재 문자로 주신 질문도 없어서 그러면 더 이상 질문이 없으면 이상 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사드립니다.

<끝>