[디지털데일리 김보민기자] 정부가 개인정보를 유출한 공공기관을 엄정 제재하겠다고 예고하자 현장에서 "예산과 인력 문제부터 해결해달라"는 호소가 이어졌다. 개인정보 보호 체계를 고도화할 비용과 전문 인력이 부족한 상황에서 처벌 수위만 높아지고 있다는 우려도 제기됐다.

정부는 '당근과 채찍'을 함께 운용하겠다는 입장이다. 공공기관 규모와 유출사고 경위를 고려해 처벌 수위를 조율하고 대규모 보안 투자를 집행한 곳에 과징금을 감경해 부과하도록 제도를 구체화하겠다는 취지다. 선제적 예방 투자에 대한 기준도 제시할 방침이다.

송경희 개인정보보호위원회 위원장은 13일 서울 광진구 한국사회보장정보원에서 현장 간담회를 열고 "공공은 민간보다 방대한 양의 개인정보를 장기간 축적하고 연계해 활용할 뿐만 아니라 민감도가 높은 개인정보를 다루고 있다"며 "개인정보위는 공공분야에 대해서도 엄정한 제재 방침을 예외없이 적용할 계획"이라고 밝혔다.

그간 개인정보위는 개인정보를 유출한 공공기관에 솜방망이 처벌을 한다는 비판을 받아왔다. 동일한 사고를 낸 민간기업과 비교했을 때 처벌 수위가 낮다는 지적이었다. 공공기관의 경우 기본 보안 조치조차 미흡한 경우가 많아 민간과 유사한 수준의 기준을 세워 관리해야 한다는 의견도 제기돼왔다.

이날 개인정보위는 '2026년도 공공분야 개인정보 보호 정책 방향'을 소개하며 공공기관장의 관리 의무를 법제화하겠다고 예고했다. 공공기관에서 개인정보를 처리하고 보호하는 책임 주체가 기관장인 만큼 실효적 관리 의무를 부여한다는 취지다.

이외 공공시스템 대상 취약점 점검을 강화하고 공공기관 보호 수준 평가제도를 내실화하는 방안도 모색 중이다. 중요 개인정보 처리자를 대상으로 정보보호및개인정보보호관리체계(ISMS-P) 인증을 의무화하는 개인정보보호법 개정안도 국회 정무위원회를 통과해 2027년 7월 시행을 앞두고 있다.

공공기관 개인정보보호책임자(CPO)들은 정책 필요성에 공감을 표하면서도 실제 보안 현장에 부담이 가중될 수 있다는 우려를 표했다.

특히 예산 부족을 문제점으로 꼽았다. 정영철 한국사회보장정보원 정보이사는 "한국사회보장정보원의 경우 공공시스템 10개를 운영하고 있다"며 "(ISMS 등) 인증을 받으려면 시스템마다 2억원 이상 투입해야 하는데 전체 시스템에 대한 인증을 모두 받아야 하는 것인가"라고 물었다. 이어 "만약 전체 시스템에 모두 인증을 받아야 한다면 20억원 규모"라고 덧붙였다.

이에 양청삼 개인정보위 사무처장은 "하위법령 작업을 할 때 정보시스템에 대한 모든 것을 일괄적으로 할지 범위와 대상을 의견 수렴해 정할 예정"이라며 "하위 법령을 구체화하면서 단계적으로 정하겠다"고 답했다.

보안 전문 인력이 부족하다는 목소리도 쏟아졌다. 이창범 한국교통안전공단 정보보안처 처장은 "개인정보 전담 인력을 충원해달라는 요청이 계속 있었지만 내부적으로 한계가 있는 상황"이라고 토로했다. 이어 "자동차 검사 시스템도 공공시스템으로 분류되는데 사업부서에서 이를 관리하기도 한다"며 "민간 지정 자동차 검사소까지 합치면 연계 시스템이 더 많을 수 있는데 인력 확보가 필요하다"고 요청했다.

국립중앙의료원의 경우 전담 인력을 증원하지 않은 상황 속에서 정보보호팀을 신설하며 진단검사의학과 전문의가 CPO와 정보화실 실장직을 맡고 있다. 이와 관련해 이혜련 국립중앙의료원 정보화실 실장은 "증원 없이 개인정보 보호와 정보보안과 같은 수많은 일을 감당해야 하는 실정"이라고 분위기를 전했다.

이에 송 위원장은 "2월까지 공공기관 인력, 예산, 개인정보 보호에 관련된 내용을 파악할 예정"이라며 "관련 현황을 제출해달라"고 답했다. 이어 "필요한 사항은 협의하겠다"고 약속했다.

처벌을 강화할 경우 부담만 가중될 수 있다는 의견도 나왔다. 정태규 국민연금공단 연금이사는 "유출 패널티가 강화되다 보면 실질적으로 이를 숨기기에 급급한 일이 발생할 수도 있다"고 지적했고, 임현정 국민건강보험공단 법무지원실 실장도 "개인정보 유출을 신고했을 때 패널티가 주어진다면 어려움이 있을 수밖에 없다"고 말했다.

정부는 공공기관을 대상으로 예산과 인력에 대한 기준을 확립하겠다고 밝혔다. 양 사무처장은 "개인정보 수준에 대한 평가를 하고 있고 제재도 염두에 두면서 큰 공공기관과 규모가 작은 기관을 구분해서 접근할 부분이 있다"며 "획일적인 잣대로 접근하지 않고 개인정보 성격, 종류, 민감도, 규모, 취급자 수를 고려해 필요한 개인정보 인력은 얼마나 되어야 하는지 등을 살펴보겠다"고 말했다.

한편 개인정보위는 대규모 개인정보 투자에 대한 인센티브를 도입할 방침이다. 예산, 인력, 장비 등 주요 분야에 개인정보 보호 투자를 한 기관과 기업에 과징금을 감경한다는 취지다. 아울러 개인정보 보호를 위한 인적, 물적 투자에 대한 기준도 제시할 계획이다.

송 위원장은 "인공지능(AI) 등 첨단 기술로 공격이 들어와 유출 사고가 발생했다면 (처벌 수위를 논할 때) 고려할 여지가 있지 않겠냐"며 "많은 과징금을 걷는 것이 아닌 국민의 소중한 개인정보를 안전하게 보관하고 활용하도록 하는 것이 기본 목적"이라고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -