15일 더불어민주당 윤영덕 의원이 개인정보보호위원회로부터 제출 받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천 건에서 지난해 8월 기준 339만8천 건으로 크게 늘었다. 공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다.
그러나 공공기관당 평균 과징금 및 과태료가 부과된 것은 2022년부터 지난해 8월까지 민간기업의 7% 수준인 달랑 700만원에 불과했다. 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원으로 제한했기 때문이다.
북한 해커 조직 '라자루스'가 국내 법원 전산망을 2년 넘게 해킹해 빼간 개인정보 등 자료가 1TB(테라바이트)가 넘는 것으로 드러났다. (이미지=코파일럿 제작)
하지만 민간기업들에게 부과되는 과징금은 갈수록 증가하고 있다. 기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월부터 개인정보보호법 개정안을 시행한 탓이다. 이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 했지만, 개정된 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에게 주어졌다는 점에서 과징금 부담은 결국 더 무거워졌다는 평가다.
이로 인해 골프존은 지난 8일 관리 소홀로 221만여 명의 이름과 전화번호 등을 유출했다는 이유로 과징금 75억400만원과 540만원의 과태료가 부과됐다. 역대 국내기업 최대 과징금으로, 공공기관당 평균 과태료(700만원)의 약 1천73배에 달했다. 개인정보 유출 사고 후 '부실 대응'으로 논란은 있었으나, 공공기관에 비하면 과도한 제재라는 평가도 나왔다.
여기에 앞으로 골프존보다 더 많은 과징금이 부과될 가능성이 높아졌다는 점에서 기업들의 불안감은 커지고 있다.
공공기관당 평균 과징금 및 과태료가 부과된 것은 2022년부터 지난해 8월까지 민간기업의 7% 수준인 달랑 700만원에 불과했다. (사진=뉴시스)
하지만 공공기관들은 개인정보 유출 문제가 터져도 제재 수위가 높지 않은 탓에 크게 개의치 않는 분위기다. 지난 1월 '워크넷'은 23만여 명, 장학재단은 3만2천 명의 개인정보를 유출했으나 각각 과태료 840만원과 '개선 권고'만 받았다.
공공기관들의 낮은 보안 의식 수준도 문제다. 북한 해커 조직 '라자루스'가 법원 자료를 2년이 넘도록 해킹해 국민 개인정보를 빼돌렸음에도 어떤 내용의 자료들이 유출됐는지 조차 알아차리지 못했다는 것이 이를 방증한다.
특히 법원 신고가 늦어져 조사가 빨리 이뤄지지 못하면서 피해를 더 키웠다. 앞서 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 해킹 사실이 보도되자 12월 초 경찰청·국정원·검찰청이 합동조사에 착수했다. 그 사이 서버에 남아있던 유출자료들이 지워졌다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과하다.
여기에 해킹 당한 법원 서버에 주민등록번호, 은행 거래 내역, 병력 기록 등 개인 정보가 상당량 포함됐다는 점에서 향후 전화금융사기(보이스피싱)나 대포통장 개설 등에 악용될 우려도 큰 상태다.
업계 관계자는 "사법부의 독립성도 중요하지만 북한의 공격에 맞서 국가 안보를 지키기 위한 관계 기관의 협력이 더욱 중요하다는 점을 간과한 듯 하다"며 "그 사이 외부 서버에 남아 있던 유출 자료 대부분이 삭제되면서 해킹 경로나 목적도 확인하지 못했다는 점은 매우 아쉽다"고 지적했다.
김승주 고려대 정보보호대학원 교수는 "해외는 데이터 중요도 중심의 망분리를 하고 있는 반면, 한국식 망분리는 모든 시스템을 인터넷과 단절시켰다는 차이가 있다"며 "해커들이 넘기에 보안 장벽이 높을 수 있겠지만, 넘었을 경우에는 외국보다 기밀 안전 위협이 더 크다는 점에서 개선이 반드시 필요해 보인다"고 밝혔다.
공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있는 것으로 파악됐다. (사진=코파일럿 제작)
공공부문의 보안 및 책임의식 역시 하루 빨리 높여야 한다는 주장도 나왔다. 최소한의 기본적인 투자만으로 충분하다는 낮은 인식 수준 탓에 공공부문의 정보 유출 문제가 계속 불거지고 있다는 지적이다.
공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 현저히 떨어진다는 의견도 있다. 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다는 점 때문이다.
반면 민간기업은 다르다. 개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다. 이 CPO들은 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 한다.
정보통신망법도 민간기업에 대한 규제는 명확하다. 일정 규모 이상의 정보통신서비스 업체는 사업주나 대표자 등을 개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'로 지정해야 한다.
하지만 공공부문과 관련된 법은 국회에서 꿀잠을 자고 있다. 2021년 1월 민주당 이해식 의원이 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법' 개정안을 발의했으나, 국회에 계류 중이다.
김승주 고려대 정보보호대학원 교수는 "공공부문에선 컨트롤타워가 없어 이런 일이 계속 벌어지고 있다고 주장하지만, 과거부터 CISO가 없는 부분에 대해 업계가 지적했음에도 시정되지 않았다"며 "관련 법 문제도 권한만 있고 책임에 대한 얘기가 없어 실효성 있게 논의되지도 않았다"고 꼬집었다.
업계에선 공공부문과 민간기업의 제재 형평성 문제가 하루 빨리 시정돼야 한다고 목소리를 높였다.
이에 개인정보보호위원회는 설명 자료를 통해 "공공부문의 개인정보 보호 강화 대책을 세우고, 공공기관 개인정보 관리 수준 평가를 강화하는 등 다양한 대책을 추진하고 있다"며 "위법행위를 한 공공기관과 공무원에 대한 처벌도 강화했다"고 피력했다.
그러면서 "향후 대규모 민감정보를 처리하는 공공부문에 더욱 강화된 안전조치 의무를 부여할 계획"이라며 "중장기적으로는 기관별 개인정보 전담 인력을 배치하도록 권고하고, 시스템 기능 개선도 단계적으로 추진하겠다"고 강조했다.
일각에선 갈수록 사이버 해킹 문제가 심각해지고 있는 만큼, 정부에서 지난 2009년 7·7 디도스 사태 이후 '국가 사이버위기 종합대책'을 수립한 것처럼 종합적인 대책을 하루 속히 마련해야 한다고 강조했다. 당시 정부는 민관 합동 범정부 대책기구를 구성해 위협분석 및 경보발령, 외국과의 공조체계 가동 등을 총괄하도록 했고 언론 창구는 방송통신위원회로 일원화하는 등 위기관리체계를 정비했다.
업계 관계자는 "이제 사이버전 대응 역량은 국가 안보의 필수 조건으로 떠올랐다"며 "허술한 대비로 해킹 공격에 허점을 보인다면 유사 시 심각한 피해가 발생하는 만큼 총체적인 점검과 대책 마련이 시급하다"고 밝혔다.