【 청년일보 】 지난 8일 개인정보보호위원회는 관리 소홀로 221만여명의 이름과 전화번호 등을 유출한 '골프존'에 75억400만원의 과징금을 물렸다.

이는 지난해 LG유플러스에 부과된 68억원을 뛰어넘는 역대 국내기업 최대 과징금이다.

기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월 시행된 개인정보보호법 개정안이 처음으로 적용됐기 때문으로 분석된다.

이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 했지만, 개정된 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈이다.

다만, 공공기관에 대한 제재는 여전히 무디다는 지적이다.

13일 정보보호학계와 관련 업계에 따르면 최근 법원 내부 전산망에서 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐고, 전 국민을 대상으로 서비스하는 '정부24'에서도 개인정보가 유출되는 등 관련 사고가 잇따르지만, 지워지는 책임의 무게는 국민 눈높이에 맞지 않다는 지적이 나왔다.

더불어민주당 윤영덕 의원이 개인정보위로부터 제출받은 자료에 따르면 부처에 신고된 공공기관 개인정보 유출건수는 2019년 5만2천건에서 지난해 8월 기준 339만8천건으로 크게 늘었다.

같은 기간 민간기업에서 신고한 유출 건수는 1천398만9천건에서 261만7천건으로 줄었다.

공공기관의 유출 건수가 민간기업을 넘어선 것은 지난해가 처음이다.

하지만 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업(1억원)의 7%에 불과했다.

매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억원으로 못 박았기 때문이다.

공공기관의 개인정보보호책임자(CPO)가 갖춘 전문성이 민간기업에 비해 턱없이 떨어진다는 지적도 나온다.

개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다.

이곳에서 일하는 CPO는 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하고, 상근해야 한다.

이와 달리 공공기관에서 근무하는 CPO는 관련 경력이 없어도 급수만 충족된다면 누구나 맡을 수 있다.

지난달 1천200여건의 개인정보가 유출된 '정부24'를 포함해 행정안전부의 개인정보를 담당하는 CPO도 관련 분야와 사실상 무관한 경력을 갖춘 인물로 알려졌다.

과거에 개인정보를 유출해 개인정보위로부터 과징금을 부과받은 한 기업의 고위 관계자는 "민간 기업은 개인정보 중요성이 커지는 것을 인식하고 다양한 투자를 하고 있다"며 "전 국민을 상대로 하는 공공기관도 과감한 투자를 벌이고, 인식을 개선할 필요가 있다"고 지적했다.

김승주 고려대 정보보호대학원 교수는 "개인정보 유출 사고가 벌어질 때 공공기관은 담당자에 대한 처벌이나 사과하는 모습을 보기 힘들다"며 "이는 결국 개인정보를 총괄하고 책임지는 '정보보호 최고책임자(CISO)'를 둘 의무가 공공기관에 없기 때문"이라고 말했다.

정보통신망법에 따르면 일정 규모 이상의 정보통신서비스 업체는 사업주나 대표자 등을 CISO로 지정해야 한다.

2021년 1월 민주당 이해식 의원이 공공기관에도 정보보호와 보안대책을 총괄하는 CISO를 지정하는 내용이 담긴 '전자정부법' 개정안을 발의했으나, 국회에 계류 중이다.

관련해 개인정보위 관계자는 "민간 기업과 정부 기관을 단순히 동일하게 볼 순 없다"며 "공공기관 등에 대한 과징금 상한선도 기존 4억원에서 20억원으로 올리는 등 관련 제재도 강화했다"고 해명했다.
 

【 청년일보=조성현 기자 】