개인정보 유출에도 공공기관 평가 B등급 "패널티 강화 필요"

[이데일리 김아름 기자] 개인정보 유출 사고가 반복되고 있음에도 평가 등급이 오히려 상향되는 사례가 나타나면서, 해당 제도의 실효성이 떨어진다는 지적이 제기됐다. 공공기관의 개인정보 보호 수준 평가가 형식적인 절차에 머무르고 있다는 것이다.

송경희 개인정보보호위원회 위원장이 지난 14일 국회 정무위원회(정무위) 국정감사에서 인사말을 하고 있다. (사진=권하영 기자)

국회 정무위원회 소속 김현정 더불어민주당 의원은 28일 개인정보보호위원회 등을 대상으로 한 종합감사에서 한국연구재단이 2023년 개인정보 유출로 시정명령을 받았음에도 불구하고 지난해 B등급으로 상향 평가됐다고 밝혔다. 그 결과 올해 6월에는 기초적인 해킹에 의해 12만명의 개인정보가 유출되는 사고가 발생했다는 지적이다.

김 의원은 “현재 평가 시스템은 개인정보 유출 시 최대 10점 감점이 부여되지만, 개선계획 보고서를 제출하면 최대 10점의 가산점을 받을 수 있다”면서 “즉 유출로 인해 감점받아도 ‘반성문’만 잘 쓰면 총점이 복원되는 구조로, 실질적인 패널티가 되지 않는다는 것”이라고 전했다.

그러면서 김 의원은 중대사고 발생 시 감점 상쇄 가산점 금지, 최소 1~2단계 등급 강등 후 2~3년 유지 등 패널티 강화 방안을 제안했다.

김 의원은 “한국연구재단은 12만명 정보 유출을 인지하고도 3일 후 신고했으며, 그 사이 2차 피해가 발생했다”면서 “현행 개인정보보호법 시행령이 ‘72시간 이내 통지’만 규정하고 있어 법적 공백이 존재한다”고 했다.

이에 송경희 개인정보위 위원장은 “중대한 유출 사고를 일으킨 기관에 대해서는 실질적인 패널티 강화가 필요하다고 보고 있다”면서 “현재는 감점 후 개선계획으로 가점을 주는 구조인데 이를 다시 들여다볼 필요가 있다, 공공기관 유출에 대해서도 더 엄정한 관리 방향으로 가겠다”고 답변했다.

이어 “신고 유도와 관련해선, 72시간보다 빠른 신고에 가점을 주는 방안 등도 검토 중으로 이를 통해 신속한 자발적 신고를 유도할 수 있는 체계를 고민하고 있다”고 부연했다.