#개인정보 유출

• 유출 사고 시 감점 최대 20점 상향 및 사후대응 미흡 페널티 신설… 1,464개 기관 정밀 점검
• 전문가 심층평가 비중 50%로 대폭 확대… 9월부터 서면·현장 검증 거쳐 결과 공식 발표

공공기관의 잇따른 개인정보 유출 사고를 막기 위해 정부가 평가 기준을 대폭 강화하고 사고 발생 시 부여하는 페널티를 두 배로 늘린다.

개인정보보호위원회(이하 개인정보위)는 지난 8일 전체회의를 열고, 전국 1,464개 공공기관을 대상으로 하는 ‘2026년 공공기관 개인정보 보호수준 평가 추진계획’을 최종 확정했다. 이번 계획은 단순한 법적 의무 이행 확인을 넘어 실질적인 사고 예방과 대응 역량을 검증하는 데 초점이 맞춰졌다.

가장 눈에 띄는 변화는 사고 발생 기관에 대한 엄중한 문책이다. 개인정보 유출 사고 발생 시 적용되는 감점 최대치를 기존 10점에서 20점으로 대폭 상향했으며, 사고 발생 이후 사후 조치가 미흡하다고 판단될 경우 최대 5점의 추가 감점을 부여하는 조항을 신설했다. 이는 사고 예방뿐만 아니라 사고 발생 직후의 신속한 대처까지 기관의 책임 범위를 넓히겠다는 의지로 풀이된다.

내부 직원에 의한 고의적 유출이나 관리 소홀을 차단하기 위한 예방 지표도 강화된다. 개인정보위는 올해의 핵심 테마로 ‘내부자 보안’을 선정하고, 모의 해킹과 취약점 점검 실적을 정성적으로 평가하는 ‘사고 예방 및 대응 노력’ 지표를 새롭게 도입했다. 특히 기관장의 보호 노력을 평가하는 배점을 높여 조직 차원의 선제적 보안 체계 마련을 강력히 독려할 방침이다.

평가의 변별력을 확보하기 위한 등급 체계 정비와 사후 관리도 엄격해진다. 자체평가를 수행하는 소속기관과 교육지원청에 대해 3등급(보통·일부 미흡·미흡) 체계를 적용하고, 최하위 등급인 ‘미흡’을 받은 기관의 명단을 대중에 공개하기로 했다. 성적이 저조한 기관은 보완 조치서 제출이 의무화되며, 전문가가 직접 참여하는 심층평가 비중이 전체의 절반인 50%까지 확대되어 형식적인 평가를 방지한다.

이번 평가는 중앙행정기관부터 지방자치단체, 공공기관, 시도교육청 등 총 1,464개 기관을 대상으로 진행된다. 올해 9월부터 본격적인 서면 평가와 현장 검증에 착수하며, 전문가 평가단의 최종 검증을 거쳐 2027년 4월 결과가 공식 발표될 예정이다. 결과에 따라 우수 기관에는 포상을 실시하는 한편, 미흡 기관에는 개선 권고와 이행 점검, 그리고 1대1 맞춤형 컨설팅을 통해 실질적인 보안 수준 향상을 지원할 계획이다.