본문 바로가기 메인메뉴 바로가기

전자정부 누리집 로고이 누리집은 대한민국 공식 전자정부 누리집입니다.

2024 정부 업무보고 국민과 함께하는 민생토론회 정부정책 사실은 이렇습니다 2024 정부 업무보고 국민과 함께하는 민생토론회 정부정책 사실은 이렇습니다

콘텐츠 영역

개인정보위 제11회 전체회의 결과

2022.06.22 양청삼 조사조정국장
인쇄 목록
안녕하십니까? 조사조정국장입니다.

지금부터 지난해 12월 송파 살인 사건의 계기가 되었던 수원시 공무원에 의한 개인정보 불법유출 사건에 대한 조사 결과를 발표하겠습니다.

개인정보보호위원회는 오늘 오전 제11회 전체회의를 열고 개인정보보호 법규를 위반한 수원시청에 대해 과태료 부과와 시정조치를, 개인정보 보호를 강화할 필요가 있다고 인정된 국토교통부에 대해 개선권고를 각각 의결하였습니다.

오늘의 심의·의결은 중앙행정기관이 구축·운영하고 전국 지방자치단체가 공동으로 사용하는 공공부문의 대규모 행정시스템에 대한 첫 번째 조사 처분 사례라는 점에서 의의가 있습니다.

개인정보보호위원회가 공식 출범한 2020년 8월 5일 이전에는 지자체 대상으로 개선권고 처분만 내려졌으며, 출범 이후에는 지자체가 운영하는 소규모 시스템에 한해 과태료 처분을 한 사례가 있지만, 전 국민을 대상으로 개인정보를 다루는 공공기관의 대규모 행정시스템에 대한 처분 사례는 이번이 처음입니다.

2022년 1월 11일 수원시 권선구 공무원이 개인정보를 흥신소에 유출했다는 신고를 개인정보보호위원회가 접수하고, 2022년 1월 17일 유출 사고의 직접적 당사자인 수원시를 비롯하여 유출 관련 개인정보처리시스템을 관리하는 국토부에 대한 조사에 착수하였습니다.

조사 결과, 해당 수원시 권선구 공무원은 수원시의 자치사무인 불법노점 단속 업무와 건설기계조종사면허 발급 업무를 수행하던 자로 해당 업무를 수행하기 위해 부여받은 자동차관리정보시스템과 건설기계관리정보시스템의 사용권한으로 타인의 개인정보를 무단으로 조회하여 약 2년 동안 흥신소 업자에게 주소 등 개인정보 1,101건을 유출한 사실을 확인하였습니다.

특히 해당 시스템을 이용하면 민원신청 대상이 아니더라도 차량번호나 성명, 주민등록번호 조합으로 모든 국민의 개인정보 조회가 가능하다는 사실을 확인하였습니다.

수원시에 대한 위법성 판단과 시정조치의 세부 내용은 다음과 같습니다.

우선 수원시는 자동차 등록, 건설면허 발급 업무를 목적으로 국토부 시스템에서 개인정보를 조회·수집하여 자신의 개인정보 파일을 생성·관리하는 개인정보처리자입니다.

위법성 여부를 살펴보면 첫째, 수원시가 자동차관리법령상 부여받은 자동차관리정보시스템의 접근권한을 국토부 장관의 승인을 받지 않고 법에 규정된 업무 목적을 벗어나 불법노점 단속 업무에 활용한 행위는 개인정보보호법 제18조 제1항 목적 외... 규정을 위반한 목적 외 이용으로 판단하였습니다.

둘째, 수원시는 건설기계조종사면허 발급 업무 처리를 위해 수원시 권선구 공무원에게 건설기계시스템의 사용권한을 부여할 때 업무에 필요한 최소한의 범위를 벗어난 더 상위의 접근권한을 부여하였고, 인사발령으로 최소 1년 이상 건설기계 관련 업무를 수행하지 않는 4명에 대해 사용권한을 말소하지 않았으며, 최근 3년간 수원시 사용자에 대한 접속기록을 점검하지 않아 보호법 제29조 안전조치 의무를 위반한 것으로 밝혀졌습니다.

셋째, 수원시가 권선구 공무원이 개인정보보호 교육을 이수하도록 관리하지 않고, 권선구 공무원에게 부여된 사용자 권한을 소관 업무 용도로만 사용하는지 여부를 점검하지 않는 등 보호법 제28조 제1항에 따른 개인정보취급자에 대한 관리·감독 의무를 위반한 것으로 판단하였습니다.

이러한 수원시의 위법행위에 대해 개인정보보호위원회는 수원시에 대해 360만 원의 과태료를 부과하고, 법 위반사항에 대한 시정조치 및 공표와 함께 수원시의 법 위반행위에 대해 책임이 있는 자에 대해 징계할 것을 권고하였습니다.

참고로 개인정보를 불법 유출한 공무원은 기파면 조치되었고, 여기서 책임 있는 자라고 하면 수원시의 위반행위, 즉 목적 외 이용, 안전조치 의무 위반, 관리·감독 의무 위반에 책임 있는 자를 말하고 임원을 포함합니다.

국토부에 대해서는 자동차시스템 및 건설기계시스템 운영 주체로서 수원시를 포함한 이용기관의 시스템 이용에 대해 총괄적 관리·감독 책임이 있음을 감안하여 개선권고를 의결하였습니다.

국토교통부에 대한 개선권고의 주요 내용을 보면 첫 번째, 목적 외 이용 제한과 관련하여 법상 적격요건을 갖추는 경우를 제외하고는 자동차시스템상 개인정보를 이용기관이 법상 정의된 목적 외로 이용하지 않도록 점검할 것과 지자체에서 불법노점 단속 업무 시 자동차관리정보시스템을 이용하는 현황을 파악하고 개선대책을 마련할 것, 두 번째로 접근권한 최소 부여와 관련하여 자동차관리시스템 및 건설기계관리정보시스템에서 개인정보 조회 시 전 국민의 개인정보가 아닌 자동차 등록, 면허 발급 등 해당 업무 대상자에 한해서만 개인정보 조회가 가능하도록 개선할 것, 그리고 접속기록 조회 기능 구현과 관련하여 지자체 등에서 소속 개인정보취급자의 접속기록을 조회할 수 있는 기능을 조속히 구현할 것을 권고하였습니다.

개인정보보호위원회는 동 수원시 유출사고 건을 계기로 공공부문에서의 개인정보 유출을 근절하고 개인정보 보호에 대한 국민의 신뢰를 확고히 하기 위해 범부처 합동으로 공공부문 개인정보 유출 방지대책을 마련하였고 이른 시일 내에 발표할 계획입니다.

이상으로 브리핑을 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 지금 결국 재발 방지가 중요할 것 같은데 이런 행위가 수원시 한 곳에서만 이루어졌다고 보기는 사실 어려울 것 같거든요. 그러면 다른 기관에 대한 조사도 함께 이루어져야 할 것 같은데 지금 관련해서 진행되고 있는 조치가 있는지, 있다면 어디까지 진행됐는지 이런 것도 한번 여쭙고 싶습니다.

<답변> 이번 수원시 사고가 2012년도 말... 지난해 12월에 확인이 됐고, 1월부터 수원시에 대한 유출사고 조사 케이스에 착수를 했고요. 그와 함께 전 부처 대상으로 해서 개인정보 안전성 확보조치에 대한 현황 조사를 실시하였습니다.

쭉 실시하였고, 그 실시 결과 우리나라 공공부문에서 대규모 정보시스템을 구축하고 이용하는 데 있어서 여러 가지 문제점들이 있어서 이것을, 지금 이 유출사고 케이스와 관련해서 시작됐지만 이것을 범정부 차원에서 체계적으로 지금 이 개인정보 보호조치를 완결할 필요가 있어서 이번에 범부처 합동으로 공공부문 개인정보 유출대책을 마련했고, 이 부분은 6월 30일에 총리 주재 국정현안점검조정회의를 통해서 발표할 예정으로 지금 되어 있습니다.

<질문> 저도 한 가지만 여쭙고 싶은데, 건설기계시스템의 경우에 수원시가 업무에 필요한 최소한의 범위가 아니라 상위의 접근권한을 부여해서 문제가 됐다고 이렇게 보도자료에 나와 있는데요. 그럼 다른 지자체에서는 이 시스템을 어떻게 운영하고 있는지, 혹은 공무원에게 어떤 접근권한만 주고 있는지 수원시 사례와 비교해서 좀 더 구체적으로 설명을 해주실 수 있을까요?

<답변> 저희가 이 사건과 관련해서 다른 지자체 현황에 대해서는 아직 조금 제한적으로만 파악을 했습니다. 일단은 접근권한 부여 부분은 사실은 우리 공공부문 개인정보 유출대책에 반영해서 지금 공공부문에서 운영되는 굉장히 중요한 시스템이 1만 6,000개의 시스템이 있습니다, 총. 그런데 그중에 굉장히 대규모로 개인정보를 다루는 주요 시스템들이 있어서 이 주요 시스템들을 선정하고 여기는 체계적으로 현황 조사를 하고 체계적으로 보호조치를 적용해야 되겠다, 라는 부분이 지금 우리 조만간 발표될 개인정보보호 유출대책에 포함되어 있고요. 지금 이 사건과 관련해서는 구체적으로 건설기계관리시스템에서 다른 지자체에서 어떤 식으로 접근권한을 부여하고 있는지는 조사하지 않았습니다.

조사하지 않고, 그런데 목적 외 이용 부분과 관련해서는, 이것은 조금 더 중요한 문제여서 다른 지자체에서, 수원시를 제외한 다른 지자체에서 어떻게 활용하는지를 조금 검토를 하였는데, 저희들이 10개 정도 전국 지자체를 조사해 본 결과 대부분의 경우 불법노점 단속 업무를 위해서 자동차관리시스템 접근권한을 직접 부여한 경우는 없고, 자동차... 불법노점 단속 업무 담당자가 자동차 관련된 어떤 불법노상 차량을, 방치 차량을 발견하게 되면 그것을 접근권한과 관련된 권한 있는, 이를테면 교통행정과라든지 이런 쪽에 연락하거나 공문으로 확인하는 이런 행태가 주종을 이룬다고 일단은 확인했습니다.

그래서 일단 요약하면 ‘목적 외 이용과 관련해서는 다른 부처에 광범위하게 이게 퍼져 있지는 않구나. 그렇지만 수원시와 같은 사례는 충분히 있을 수 있다. 그래서 이 부분은 공공부문 유출대책에 반영해서 하반기에 체계적으로 조사할 예정이다.' 이런 말씀드립니다.

<질문> 안녕하세요? 이번 사건에서는 해당 공무원이 파면 징계를 받아서 1심 재판도 나오고 살해의 피해를 당한 분들도 있는데, 지자체에서는 과태료가 너무, 이 건과 별도의 건은 또 500만 원이 과태료가 부과가 됐는데 그것에 비해서 금액이 작아서, 혹시 이 과태료 산정은 어떤 기준으로 되는 건지 간단하게 설명 부탁드립니다.

<답변> 우리 조사총괄과장이 대신 답변드리도록 하겠습니다.

<답변> (정혜원 조사총괄과장) 그 부분은 제가 대신 답변드리도록 하겠습니다. 저희 여기 보도자료에 보면 저희 위반사항이 3페이지에 보시면 18조 1항, 목적 외 이용하고요. 보호법 제2조, 안전성 조치 의무 위반, 그다음에 제28조에 따른 관리·감독 의무 이 세 가지 위반사항이 있는데요.

이 세 가지 중에 과태료 처분이 있는 것은 보호법 제29조에 의해서 하는 게 과태료가 있습니다. 과태료는 저희가 개인정보보호법 75조 제2항 제6호에 의해서, 그다음 시행령 63조하고 시행령 별표에 의해서 저희가 이 과태료를 부과하는데요.

상한은 3,000만 원인데 시행령의 기준이, 1회를 이게 위반한 경우여서 처음 기준 금액이 600만 원입니다. 거기에서 가중감경을 거쳐서 이게 된 거여서 저희는 안전성 조치 위반에 상응하는 과태료를 부과했다고 말씀을 드리고 싶습니다.

이게 피해가 굉장히 컸고 그 피해 규모는 사실 금액으로 환산되기 어려운 건데 그 부분하고 저희가 위법사항을 검토해서 그것에 상응하는 과태료를 하는 것은 저희가 법령에 의해서 하다 보니까 그런 점이 있다는 것은 양해를 부탁드리겠습니다.

<질문> 수원시 권선구청 공무원이 2년간 개인정보 1,101건을 유출했다고 이렇게 말씀을 하셨는데, 그러면 실제로 그 피해 규모, 몇 분이 피해를 입으셨는지 그것도 혹시 집계, 통계가 나왔을까요?

<답변> 지금 직접적인 당사자인 한 분을 제외하고는 다른 피해자들은 지금 특정하지를 못했습니다, 수원시에서는. 그래서 피해 규모도 일단은 우리 조사 과정에서 확인된 것은 없습니다.

<끝>

이전다음기사 영역

하단 배너 영역

지금 이 뉴스

추천 뉴스