[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 공공기관에 대한 정보보호 처벌 수위가 낮다는 일부 비판에 개선 방안을 고민 중이라는 입장을 밝혔다.

법원과 같이 국가 중요 정보를 다루는 곳에서 개인정보 유출 사태가 벌어지고 있는 만큼, 민간뿐만 아니라 공공 차원에서도 경각심을 높일 대안이 필요하다는 취지다. 최근 도입된 공공기관 보호수준 평가제가 인식 개선에 보탬이 될 수 있다는 전망도 내놓았다.

고학수 개인정보위 위원장은 14일 정부서울청사에서 출입기자단 간담회를 열고 "(개선 방안은) 고민이 많은 영역"이라며 "법 개정 이후 공공기관 여부와 관계없이 안전조치 위반에 과징금 부과가 가능해졌지만, 민간 대비 액수가 적지 않냐는 문제의식도 나온다"고 말했다.

현재 공공 영역에서 개인정보 유출 사태를 겪은 곳은 법원이다. 관련 업계에 따르면 북한 해킹조직 라자루스로 추정되는 집단은 법원 전산망에 침투해 2021년부터 약 2년간 1014기가바이트(GB) 규모로 개인정보를 탈취했다. 법원행정처는 지난해 2월 관련 사실을 인지했지만 즉각 수사당국에 신고하지 않았고, 지난해 11월 언론보도가 나온 뒤 개인정보위에 관련 내용을 전달한 것으로 알려졌다.

개인정보 보호에 대한 인식이 부족해 늦장 대응에 나선 것이 아니냐는 비판이 나오는 이유다. 공공에 대한 처벌 수위가 민간 대비 낮은 것도 원인으로 작용하고 있다는 의견도 제기된다. 개인정보위는 관리 소홀로 사용자 및 임직원 221만명의 개인정보를 유출한 골프존에는 75억원대 과징금을 부과한 바 있다.

이와 관련해 고 위원장은 "내부적으로 해야 할 고민"이라며 "과징금 뿐만 아니라 (개인정보 관리 담당을 맡은) 사람에 책임을 무는 방식도 있겠는데, 어떻게 하는 것이 효과적일지 고민할 부분"이라고 강조했다.

고 위원장은 공공기관 중 70%가 개인정보보호 전담 직원이 없다는 점을 언급하며 공공기관 보호수준 평가제도가 인식 개선에 기여할 것으로 내다봤다. 개인정보위는 개인정보 관리 수준을 제고하기 위해 '공공부문 유출 방지 대책'을 수립했고, 고의 유출이 확인될 시 파면·해임으로 징계를 강화했다. 평가 대상기관도 확대하고 평가·환류 체계도 강화한 바 있다.

그러나 이런 분위기가 무르익더라도 개인정보보호책임자(CPO) 요건이 강화되지 않으면 무용지물이 될 수 있다는 비판도 나온다. 이와 관련해 고 위원장은 "올해 CPO 의무제가 시행되면서 개인정보 경험이 최소 2년 이상 있어야 된다는 조건이 따르지만, 공공기관의 경우 요건이 적용되지 않는다"며 "대부분 순환 보직으로 관련 경험을 충족하기 어렵다는 현실 때문"이라고 설명했다.

이어 "공공기관 평가제도가 개인정보 영역에 얼마나 인력 수혈을 하고 예산 투자를 하는지를 보는 만큼, 이를 통해 개선 효과가 있을 것으로 기대한다"고 말했다.

한편 고 위원장은 윤석열 정부 출범 2주년을 맞아 위원회가 일군 주요 개인정보 정책 성과를 공유했다. 올 2월 비정형 데이터 가이드라인을 발표한 데 이어 추가 준비도 진행 중이라고 밝혔다. 개인정보위는 추후 생체인식정보 규율체계, 합성데이터 활용, 이동형 영상기기, 인공지능(AI) 투명성 확보 등에 대한 가이드라인을 마련할 예정이다.