공공부문의 대규모 개인정보 유출 사고를 막기 위해 주요 시스템에 대한 모의해킹이 의무화되고, 법규 위반 기관에 대한 처벌 수위가 한층 높아진다. 개인정보보호위원회는 공공기관의 보안 취약점을 선제적으로 점검하고 인적 과실을 최소화하기 위한 ‘공공부문 개인정보보호 강화를 위한 제도개선 추진 방안’을 마련했다.

개인정보위의 분석에 따르면 최근 5년간 발생한 전체 유출 규모의 95%가 외부 해킹에 의한 것이었으며, 신고 건수 기준으로는 담당자의 실수 등 인적 과실에 의한 유출이 61%에 달했다. 이에 따라 정부는 해킹과 인적 과실이라는 두 가지 핵심 요인에 동시에 대응하는 예방 중심의 관리체계를 구축하기로 했다.

우선 개인정보위가 지정한 58개 기관의 387개 집중관리시스템을 대상으로 취약점 점검과 외부 전문가를 활용한 침투테스트(모의해킹)를 연 1회 이상 실시하도록 의무화한다. 점검 과정에서 확인된 보안 취약점은 지체 없이 보완해야 하며, 이를 뒷받침하기 위해 ‘개인정보의 안전성 확보조치 기준’ 고시를 즉시 개정해 내년부터 시행할 예정이다.

인적 과실로 인한 사고를 방지하기 위한 사후 관리도 대폭 강화된다. 기존의 재발방지 권고 수준에 머물렀던 조치를 시정명령 부과로 격상해 실효성을 높인다. 특히 2026년도 공공기관 개인정보 보호수준 평가부터는 법령 위반으로 처분을 받은 기관에 대한 감점 폭을 확대해 기관의 책임성을 강조할 방침이다.

조직 내 기강 확립을 위한 징계 체계도 정비된다. 현재 내부지침으로 운영 중인 ‘개인정보보호 법규 위반에 대한 징계권고 기준’을 고시로 승격시켜 대외적 구속력을 확보한다. 이와 동시에 개인정보보호 업무 담당자의 사기 진작을 위해 포상 및 인센티브 방안을 검토하고 현장 대응 역량 강화를 위한 교육도 확대한다.

현장 맞춤형 대책으로는 공공부문에서 빈번하게 발생하는 오입력, 오발송, 오공개 등 주요 사고 유형을 분석한 교육 콘텐츠를 제작해 배포한다. 또한 보호수준 평가 권역별 설명회와 연계해 담당자 실무 교육을 정기적으로 실시할 계획이다.

개인정보보호위원회는 "국민의 대규모 개인정보를 처리하는 공공기관의 특성을 고려해 예방 중심 관리체계를 강화하고, 외부 위협과 인적 과실에 대응할 수 있는 제도 개선을 통해 공공부문 전반의 개인정보보호 수준을 높여 나가겠다"고 밝혔다.