국정감사서 '공공기관 개인정보 보호 수준 평가' 실효성 지적
김현정 의원 "제대로 된 패널티 갖추고 유출 확인 시 즉시 신고해야"
송경희 개보위원장 "공공기관 유출, 엄정히 관리하겠다"
[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 14일 오후 서울 여의도 국회에서 열린 정무위원회 국정감사에서 의원 질의에 답하고 있다. 2025.10.14. dahora83@newsis.com
[서울=뉴시스]송혜리 기자 = 공공기관의 개인정보 보호 수준 평가가 형식적인 절차에 머무르고 있다는 지적이 국정감사에서 제기됐다. 개인정보 유출 사고가 반복되고 있음에도 평가 등급이 오히려 상향되는 사례가 나타나면서, 해당 제도의 실효성과 신뢰성에 의문이 제기되고 있다.
국회 정무위원회 소속 김현정 더불어민주당 의원은 28일 개인정보보호위원회 등을 대상으로 한 종합감사에서 공공기관 개인정보 보호 수준 평가제도의 실효성을 지적했다.
김현정 의원은 "한국연구재단은 2022년과 2023년 2년 연속 C등급을 받았고, 2023년에는 개인정보 유출로 시정명령까지 받았음에도 불구하고 지난해에 별다른 사유 없이 B등급으로 상향 평가됐다"면서 "그 결과 올해 6월에는 기초적인 해킹에 의해 12만명의 개인정보가 유출되는 사고가 발생했다"고 설명했다.
김 의원은 제도 구조의 문제점을 지적했다. 그는 "현재 평가 시스템은 개인정보 유출 시 최대 10점 감점이 부여되지만, 개선계획 보고서를 제출하면 최대 10점의 가산점을 받을 수 있다"면서 "즉 유출로 인해 감점받아도 '반성문'만 잘 쓰면 총점이 복원되는 구조로, 실질적인 패널티가 되지 않는다는 것"이라고 지적했다. 이에 김 의원은 중대사고 발생 시 감점 상쇄 가산점 금지, 최소 1~2단계 등급 강등 후 2~3년 유지 등 패널티 강화 방안을 제안했다.
김 의원은 정보 유출 시 통지 지연 문제도 짚었다. 김 의원은 "한국연구재단은 12만명 정보 유출을 인지하고도 3일 후 신고했으며, 그 사이 2차 피해가 발생했다"면서 "현행 개인정보보호법 시행령이 '72시간 이내 통지'만 규정하고 있어 법적 공백이 존재한다"고 지적했다.
이와 함께 김 의원은 공공기관에도 실효성 있는 손해배상체계 도입 필요성을 강조하며, 입법·제도 개선이 시급하다고 밝혔다.
송경희 개인정보위 위원장은 "중대한 유출 사고를 일으킨 기관에 대해서는 실질적인 패널티 강화가 필요하다고 보고 있다"면서 "현재는 감점 후 개선계획으로 가점을 주는 구조인데 이를 다시 들여다볼 필요가 있다, 공공기관 유출에 대해서도 더 엄정한 관리 방향으로 가겠다"고 답했다.
이어 "신고 유도와 관련해선, 72시간보다 빠른 신고에 가점을 주는 방안 등도 검토 중으로 이를 통해 신속한 자발적 신고를 유도할 수 있는 체계를 고민하고 있다"고 덧붙였다.
송 위원장은 "손해배상책임보험 제도는 한계가 있다"면서 "매출 10억 이상, 가입자 1만명 이상이면 의무가입 대상이 되지만, 실제 지급 사례는 적고 보험금 총액도 수년간 1억3000만원 정도에 불과하다"고 설명했다.
이어 "결국은 이게 소송으로 가서 결론이 나야지 사실 이 보험사가 지급하는 구조인데, 의무 대상이 되는 기업의 범위는 넓으면서도 실질적으로 그렇게 손해배상책임보험의 역할이 크지 않은 상태 일괄적으로 이게 공공까지 확대한다는 것도 좀 적합지 않은 면이 있어서 저희가 조금 더 면밀하게 들여다볼 필요가 있다"고 덧붙였다.
김현정 의원 "제대로 된 패널티 갖추고 유출 확인 시 즉시 신고해야"
송경희 개보위원장 "공공기관 유출, 엄정히 관리하겠다"
[서울=뉴시스]송혜리 기자 = 공공기관의 개인정보 보호 수준 평가가 형식적인 절차에 머무르고 있다는 지적이 국정감사에서 제기됐다. 개인정보 유출 사고가 반복되고 있음에도 평가 등급이 오히려 상향되는 사례가 나타나면서, 해당 제도의 실효성과 신뢰성에 의문이 제기되고 있다.
국회 정무위원회 소속 김현정 더불어민주당 의원은 28일 개인정보보호위원회 등을 대상으로 한 종합감사에서 공공기관 개인정보 보호 수준 평가제도의 실효성을 지적했다.
김현정 의원은 "한국연구재단은 2022년과 2023년 2년 연속 C등급을 받았고, 2023년에는 개인정보 유출로 시정명령까지 받았음에도 불구하고 지난해에 별다른 사유 없이 B등급으로 상향 평가됐다"면서 "그 결과 올해 6월에는 기초적인 해킹에 의해 12만명의 개인정보가 유출되는 사고가 발생했다"고 설명했다.
김 의원은 제도 구조의 문제점을 지적했다. 그는 "현재 평가 시스템은 개인정보 유출 시 최대 10점 감점이 부여되지만, 개선계획 보고서를 제출하면 최대 10점의 가산점을 받을 수 있다"면서 "즉 유출로 인해 감점받아도 '반성문'만 잘 쓰면 총점이 복원되는 구조로, 실질적인 패널티가 되지 않는다는 것"이라고 지적했다. 이에 김 의원은 중대사고 발생 시 감점 상쇄 가산점 금지, 최소 1~2단계 등급 강등 후 2~3년 유지 등 패널티 강화 방안을 제안했다.
김 의원은 정보 유출 시 통지 지연 문제도 짚었다. 김 의원은 "한국연구재단은 12만명 정보 유출을 인지하고도 3일 후 신고했으며, 그 사이 2차 피해가 발생했다"면서 "현행 개인정보보호법 시행령이 '72시간 이내 통지'만 규정하고 있어 법적 공백이 존재한다"고 지적했다.
이와 함께 김 의원은 공공기관에도 실효성 있는 손해배상체계 도입 필요성을 강조하며, 입법·제도 개선이 시급하다고 밝혔다.
송경희 개인정보위 위원장은 "중대한 유출 사고를 일으킨 기관에 대해서는 실질적인 패널티 강화가 필요하다고 보고 있다"면서 "현재는 감점 후 개선계획으로 가점을 주는 구조인데 이를 다시 들여다볼 필요가 있다, 공공기관 유출에 대해서도 더 엄정한 관리 방향으로 가겠다"고 답했다.
이어 "신고 유도와 관련해선, 72시간보다 빠른 신고에 가점을 주는 방안 등도 검토 중으로 이를 통해 신속한 자발적 신고를 유도할 수 있는 체계를 고민하고 있다"고 덧붙였다.
송 위원장은 "손해배상책임보험 제도는 한계가 있다"면서 "매출 10억 이상, 가입자 1만명 이상이면 의무가입 대상이 되지만, 실제 지급 사례는 적고 보험금 총액도 수년간 1억3000만원 정도에 불과하다"고 설명했다.
이어 "결국은 이게 소송으로 가서 결론이 나야지 사실 이 보험사가 지급하는 구조인데, 의무 대상이 되는 기업의 범위는 넓으면서도 실질적으로 그렇게 손해배상책임보험의 역할이 크지 않은 상태 일괄적으로 이게 공공까지 확대한다는 것도 좀 적합지 않은 면이 있어서 저희가 조금 더 면밀하게 들여다볼 필요가 있다"고 덧붙였다.
댓글목록
등록된 댓글이 없습니다.