구멍 뚫린 개인정보…16개 지자체 과태료

[이데일리 최훈길 기자] 16개 지자체가 개인정보 관리를 소홀히 해 과태료 처분을 받게 됐다.

개인정보보호위원회는 14일 정부서울청사에서 전체회의를 열고 16개 지자체에 총 5100만 원의 과태료를 부과하고 시정조치를 권고했다. 시정조치에는 적발된 기관의 직원들 교육, 재발방지 대책 마련 등의 내용이 포함됐다.

해당 지자체는 서울 관악구·강동구, 강원 강릉시, 경기 의왕·광주시, 충남 예산군, 충북 충주시, 대전 동구청, 충남 서산시, 전남 목포시, 전북 정읍시·부안군, 경남 진주·창원시, 부산 사하구, 경북 상주시다.

윤종인 개인정보보호위원회 위원장은 14일 정부서울청사에서 전체회의를 주재했다. (사진=개인정보보호위원회)

그동안 개인정보위는 2020년 8월 중앙행정기관으로 출범한 뒤 공공기관에 대해 과태료 부과 등 엄격한 조치를 취해왔다. 법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 판단에서다.

특히 개인정보위는 지자체들의 개인정보관리 실태를 확인하기 위해 지난해 8월에 이번 조사에 착수했다. 텔레그램 n번방 사건 등 지자체에서 개인정보 유출·악용 등의 우려가 지속적으로 제기됐기 때문이다.

이에 따라 전체 지자체 중 사회복무요원의 개인정보 처리 관련 사전점검 결과 및 개인정보 수준 진단 미흡 기관 등을 종합 고려해 20개 지자체를 선정해 조사했다. 무분별한 계정 공유, 과도한 권한 부여 등으로 개인정보 남용이 일어나지 않도록 개인정보 처리시스템의 접근 권한 관리, 접근 통제 부분을 집중 점검했다.

점검 결과 20개 지자체 중 16개 지자체에서 개인정보 보호법의 안전조치 의무(보호법29조)를 위반했다. ‘안전조치 의무(보호법29조) 위반 중에서 12개 기관은 개인정보처리자의 ‘책임 추적성’(정보보호 규칙을 위반한 개인을 추적하는 것)을 확보하기 위한 접근권한 관리 항목을 위반했다.

구체적으로 12개 기관은 개인정보 취급자 별로 사용자 계정을 발급하지 않고 공통 계정을 공유해 사용하는 경우(7건), 개인정보 취급자가 바뀌었는데도 종전 취급자의 접근 권한을 말소하지 않은 경우(4건), 개인정보 취급자의 접근권한 부여·변경·말소기록을 보관하지 않은 경우(3건) 등에서 적발됐다.

인가받지 않은 자가 개인정보처리시스템에 접속하는 등 불법적인 접속을 막기 위한 접근통제도 6개 기관에서 적발됐다. 구체적으로 보면 외부에서 개인정보처리시스템에 접속할 때 가상사설망(VPN) 등 안전한 접속·인증수단을 적용하지 않은 경우가 5건으로 가장 많았다.

일정 시간 시스템에 접속하지 않으면 자동으로 접속이 차단되도록 기술적 조치를 하지 않은 경우(2건), 인터넷주소(IP) 분석 등을 통해 불법적인 개인정보 유출 시도를 탐지·대응하지 않은 경우(1건)도 확인됐다.

개인정보 저장 시 안전한 암호 알고리즘을 사용하지 않은 경우(2건), 개인정보처리시스템의 접속 기록을 월 1회 이상 점검하지 않는 경우(4건) 각각 적발했다.

앞으로 개인정보위는 전 지자체에 개인정보 보호법 안전조치 의무 주요 위반사례를 전파해 지자체가 안전조치 의무를 준수하고 개인정보보호 역량을 강화하도록 할 예정이다.

양청삼 개인정보위 조사조정국장은 “접근권한 관리, 접근통제 등 안전조치 의무는 개인정보 보호에서 가장 기본적인 사항”이라며 “이번 제재 처분을 통해 지방자치단체가 보다 책임감과 경각심을 갖고 개인정보 안전조치의무를 준수하도록 할 것이다. 개인정보 유출에 대한 국민의 불안감을 해소할 수 있도록 노력하겠다”고 강조했다.

(자료=개인정보보호위원회)