워크넷 840만원·골프존 75억...공공·민간 개인정보 유출 처벌 형평성 논란

올해 1월 고용노동부 '워크넷', 이달 8일에는 민간기업 골프존을 통해 고객 개인정보 유출이 발생했다. 워크넷은 과태료 840만원을, 골프존은 75억 4000만원의 과징금 처분을 받았다.

14일 업계에 따르면 지난해부터 법원이나 정부24 등 공공기관의 개인정보 유출 사고가 민간의 유출 건수를 넘어섰지만 이처럼 처벌 수위에 격차가 커 형평성 논란이 일고 있다.

공공기관과 민간기업 개인정보보호법 비교

공공기관은 매출액이 없거나 매출액을 산정하기 힘든 경우가 많다. 이에 대한 과징금은 현재 최대 20억원으로 정해져 있는 상황이다. 2022년부터 작년 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업의 7%에 그쳤다.

반면 민간 기업은 매출액 규모가 크고 정확한 산정이 가능하다. 특히 작년 9월 개인정보보호법 개정안 시행으로 과징금 상한액이 '위법행위와 관련된 매출액의 3%'에서 '전체 매출액의 3%'로 올랐다.

실제로 올해 1월 '워크넷'은 23만여명, 장학재단은 3만 2000명의 개인정보를 유출했으나 각각 과태료 840만원과 '개선 권고'를 받았다. 이달 8일 발생한 221만명 골프존 개인정보 유출 때는 역대 최대인 75억 400만원의 과징금 처분이 내려졌다.

유출 건수만 보면 민간기업이 많지만 유출에 따른 피해의 정도는 단순 비교가 어렵다.

관계부처에 따르면 북한 해킹조직 '라자루스'로 추정되는 집단은 국내 법원 전산망에 침투해 2021년 6월부터 작년 1월까지 1014기가바이트(GB) 분량의 정보를 빼낸 것으로 조사됐다.

법원 전산망에는 일반 시민은 물론 국내외 기업과 검찰·국가정보원 등 수사기관, 대통령실과 정부 부처, 금융당국 등 각종 기관에서 제출한 수많은 자료가 모여있어 이로 인한 피해는 예측조차 어려운 상황이다.

사고가 잇따르자 이전부터 나오던 공공기관의 개인정보보호책임자(CPO) 전문성 논란도 다시 고개를 들고 있다. 공공기관의 CPO가 갖춘 전문성이 민간기업에 비해 부족하다는 것이다.

개인정보보호법에 따르면 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등은 전문성과 독립성 등을 갖춘 CPO를 의무적으로 지정해야 한다. 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 쌓았거나 관련 학위를 갖춰야 하고, 상근해야 한다.

공공기관의 경우는 관련 경력이 없어도 급수만 충족되면 CPO로 근무할 수 있다. 특히 개인정보를 총괄하고 책임지는 '정보보호최고책임자(CISO)'를 둘 의무가 공공기관에는 없다.

개인정보보호위원회는 "공무원 개인의 책임성을 강화하기 위해 2023년 1월부터 공무원이 개인정보를 고의로 유출하여 중대한 2차 피해가 발생한 경우에는 한 번만으로도 공직에서 배제(소위 원스트라이크 아웃제)되도록 관련 규정을 개정했다"며 "다양한 대책과 조치들을 통해 공직 사회의 개인정보 유출사고 및 침해사고가 최소화될 수 있도록 최선을 다하겠다"고 말했다.

한 보안기업 관계자는 "국내에서는 아직까지 유출 사고로 인한 피해를 입고 나서야 보안에 신경을 쓰는 경우가 많다"며 "민간기업들의 경우 의무적으로 보안 투자를 늘리고 있지만 공공기관은 아직 CISO를 둘 의무조차 없다. 적어도 개인정보보호에 대한 큰 책임을 가진 책임자는 똑같이 둬야 한다"고 전했다.