770억건 개인정보 처리하는 공공기관
개인정보취급자도 수천명 이상…조회도 간단
민간보다 내부과실 유출 압도적 높아
'일탈'만으로 수만건 국민 정보 유출 가능
"권한 사용 사유 등 관리 강화해야"
개인정보취급자도 수천명 이상…조회도 간단
민간보다 내부과실 유출 압도적 높아
'일탈'만으로 수만건 국민 정보 유출 가능
"권한 사용 사유 등 관리 강화해야"
|
개인정보보호위원회(개인정보위)에 따르면, 국내 공공분야는 1만2000여개 개인정보처리시스템을 운영 중이다. 이를 통해 36만여개 개인정보 파일과 770억건의 개인정보를 처리하고 있다. 개인정보처리시스템 1개당 최대 수천명이 관리한다. 감사원이 올해 1월 집계한 지역보건의료정보시스템 등 국내 주요 공공 시스템 10개의 개인정보취급자는 모두 3702명이고, DB 운영·관리자는 내부 직원과 용역업체 직원을 포함해 702명이다.
공공기관의 정보는 축적된 기간도 길기 때문에 민간 기업보다 훨씬 방대하다. 특히 의료, 사회복지, 연금 등 민감도가 높은 개인정보가 대부분이다. 이러한 정보에 '업무 권한'으로 접근할 수 있는 공무원 등 직원들이 수천명에 이르는 것이다. 이 때문에 공공기관에는 민간 기관보다 더 높은 수준의 정보 관리 체계가 요구된다.
그러나 공무원이라는 이유만으로 타인 정보에 접근할 수 있는 구조가 여전히 방치되고 있다. 등본 업무나 복지 민원 담당 등 개인정보를 취급하는 공무원들은 업무 구조상 별도 결재 등 절차가 필요 없는 정보 열람 권한을 갖고 있다. 실제로 2020년 발생한 대규모 성착취 사건 주범인 '박사방' 조주빈은 구청 내부인을 통해 피해 여성들과 그 가족의 개인정보를 손에 넣을 수 있었다. 당시 서울 송파구청과 수원 영통구청에 근무하던 사회복무요원은 구청 공무원의 아이디(ID)로 개인정보시스템에 접속하거나 주민등록등·초본 발급 보조 업무를 하면서 조회하는 식으로 개인정보를 조주빈에게 넘긴 것으로 알려졌다. 공무원 등 취급자 개인 의지에 의한 '일탈'만으로 방대한 양의 개인정보가 언제든 외부에 유출될 수 있는 것이다.
실제로 민간 기업의 정보 유출 원인은 업무과실이 18%에 그치고, 외부 해킹이 75%이다. 반면 공공기관의 경우 올해 1월 기준 업무과실 비중이 56%에 이른다. 절반 이상이 내부자에 의해 유출된 것으로, 민간 기업보다 공공기관이 내부 정보 접근이 훨씬 허술하다는 점을 알 수 있는 대목이다. 감사원이 주요 10개 공공시스템을 대상으로 조사한 결과, 9개 시스템이 접속기록을 점검하지 않거나 개인정보 다운로드 사유를 확인하지 않고 있었다. 이들 시스템에는 내부 이상 접근에 대한 모니터링도 전무한 것으로 나타났다.
최근 수도권을 중심으로 발생한 '범죄 대행' 사건 등 개인정보를 다루는 특정 업체에 위장 취업해 빼돌리는 수법도 확인된 만큼, 공공기관 직원 한 명 권한에 보안이 좌우되는 구조를 개선해야 한다는 목소리가 커진다. 보안업체 SK쉴더스는 "개인정보 접근 권한은 원칙적으로 최소화돼야 한다"며 "그러나 실제 운영 환경에서는 누가, 왜, 지금도 이 권한이 필요한지 설명할 수 없는 상태가 장기간 유지된다"고 짚었다. 이어 "특히 공공기관과 같이 시스템 규모가 크고, 개인정보 처리 범위가 넓은 환경에서는 일상 업무와 보안 운영이 동시에 요구되면서 개인정보 보안 관리가 후순위로 밀리는 구조가 반복되기 쉽다"고 지적했다.
