골프존에 '폭탄급' 과징금 부과
공공기관은 마땅한 대책 없어
지난해 공공기관 유출이 민간기업 넘어
전자정부법 개정안도 국회 계류 중
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
북한이 우리나라 법원 전산망에 침입해 1000GB가 넘는 법원 자료를 유출한 가운데, 공공기관의 개인정보 유출 관련 제재가 약하다는 지적이 제기되고 있다. 민간 기업의 개인정보 유출에는 ‘폭탄급 과징금’을 부과하면서 정작 공공기관의 유출에는 마땅한 대책이 없는 상황을 비판하는 목소리가 나오고 있다.
지난 11일 경찰청 국가수사본부는 ‘법원 전산망 해킹 및 자료유출’ 사건에 대해 국가정보원, 검찰청과 합동으로 수사를 실시한 결과, 법원 자료가 북한에 의해 유출됐다는 사실을 파악했다고 밝혔다.
경찰 수사 결과 북한은 지난 2021년 1월 7일 이전부터 지난해 2월 9일까지 1014GB의 법원 자료가 법원 전산망 외부로 전송했다. 경찰은 이 중 회생 사건 관련 파일 5171개(4.7GB)를 법원 전산망 외부에서 발견해 유출이 사실임을 확인했다.
공격자는 2021년 1월 7일 이전부터 법원 전산망에 침입해 있었던 것으로 나타났다. 그러나 당시 보안장비의 상세한 기록은 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없는 것으로 알려졌다.
유출이 확인된 자료 4.7GB는 모두 법원의 개인회생과 관련된 문서 5171개로, 개인정보가 포함된 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 포함 있다. 다른 자료들은 유출 사실만 파악됐을 뿐이다.
문제는 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과되는 최대 과징금은 20억 원에 한정됐다는 것이다. 게다가 전문성을 가지고 있는 개인정보보호책임자(CPO)의 자격 요건이 정해져 있지 않고, 정보보호최고책임자(CISO)를 둘 의무 또한 없다.
반대로 민간기업에 대한 제재는 강력해지고 있다. 지난 8일 개인정보보호위원회가 221만여 명의 이름과 전화번호 등을 유출한 ‘골프존’에 75억400만 원의 과징금을 부과했다. 이는 지난해 LG유플러스에 부과된 68억 원을 상회하는 역대 최대 과징금에 해당한다. 민간기업의 과징금 상한액은 전체 매출액의 3%에 달한다.
민간기업의 개인정보 유출 건수는 해를 거듭할수록 줄어들지만 공공기관의 개인정보 유출 건수는 늘어나고 있다. 윤영덕 더불어민주당 의원이 개보위로부터 제출받은 자료에 따르면 2019년 5만2000건이던 공공기관 개인정보 유출건수는 2023년 8월까지 339만8000건으로 증가했다. 반대로 민간기업의 유출 건수는 1398만9000건에서 261만7000건으로 감소했다. 처음으로 공공기관의 유출 건수가 민간기업을 넘어선 것이다.
그러나 대책 마련은 더디다. 지난 2021년 공공기관에도 CISO를 지정하도록 하는 내용을 포함한 ‘전자정부법’ 개정안을 이해식 민주당 의원이 발의했지만, 현재까지도 국회에 계류 중이다.
윤 의원은 “민간기업 보다 개인정보보호에 대해 더 강한 책임감을 가져야 할 공공기관서 매년 대량 유출사고가 급증하는 것은 상식밖의 일”이라며 “공공 영역에서 유출 사고에 대해서도 처벌을 강화하는 등의 방안을 강구해야 한다”고 밝혔다.
채민석 기자 vegemin@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
