[개인정보보호위원회 제공]

[헤럴드경제=박세정 기자] 앞으로 개인정보보호를 유출한 공공기관에게 사고 발생 시 적용되는 감점 최대치를 기존 10점에서 20점으로 올리는 등 패널티가 강화된다.

개인정보보호위원회는 8일 전체회의를 열고, ‘2026년 공공기관 개인정보 보호수준 평가 추진계획’을 확정했다.

개인정보 보호수준 평가는 ‘개인정보 보호법’ 제11조의2에 따라 공공기관이 법적 의무사항을 제대로 이행하는지, 전반적인 노력을 평가하는 제도다. 공공기관의 개인정보보 보호 역량 향상을 목표로 2024년부터 시행하고 있다.

개보위는 올해 평가에서는 유출 사고 및 부실 대응에 대해 엄중한 패널티를 적용하기로 했다.

사고 발생 시 적용되는 감점 최대치를 기존 10점에서 20점으로 올린다. 사고 발생 이후 사후 대응 조치가 미흡한 경우에도 최대 5점의 감점을 부여하도록 패널티 체계를 강화했다.

이와 함께 해킹 등 사이버 위협에 대응하기 위한 선제적 예방 조치도 강화한다. ‘개인정보 유출 등 사고 예방과 대응 노력’ 지표가 신설돼, 모의해킹을 포함한 취약점 점검 실적을 정성적으로 평가에 반영한다.

내부 직원에 의한 유출 사고를 사전에 차단하기 위해 ‘올해의 테마’ 지표로 ‘내부자 보안’을 선정해 집중 점검을 수행한다. 아울러 기관장의 보호 노력을 평가하는 지표 배점을 높여 기관 차원의 사전 예방 체계 마련을 독려한다.

송경희 개인정보보호위원장 [개인정보보호위원회 제공]

평가의 변별력을 높이기 위해 자체평가를 수행하는 소속기관과 교육지원청에 대해서는 ▷‘보통(90점 이상) ▷일부 미흡(80점~90점) ▷미흡(80점 미만)’의 3등급 체계로 전환해 ‘미흡’ 기관 명단을 공개한다.

‘일부 미흡’ 및 ‘미흡’ 기관에게는 보완 조치서를 제출받을 예정이다.

또한 전문가가 참여하는 심층평가(정성지표) 비중을 50%로 확대하고, 평가 시스템 선정 기준 미준수 시 감점을 줘 실질적인 보호 수준을 검증하게 된다.

올해 평가 대상은 총 1464개 기관이다. 중앙행정기관과 그 소속기관, 지방자치단체, 공공기관, 지방공사·공단, 시도교육청 학교·특수법인 등이 대상이다.

올해 9월부터 2027년 3월까지 서면 평가와 현장 검증 등을 거쳐 진행되며, 최종 결과는 전문가 평가단의 검증을 거쳐 2027년 4월에 공식 발표된다.

이와 관련 개인정보위는 오는 6월부터 9월까지 권역별 설명회를 개최하고 평가 편람을 온·오프라인으로 배포할 계획이다.

양청삼 개인정보위 사무처장은 “평가 과정에서 발견된 미흡 사항을 기관이 자발적으로 개선할 수 있도록 설명회와 현장 자문(컨설팅) 등 체계적인 지원을 통해 공공부문 전체의 안전관리 수준을 높여 나가겠다.”라고 강조했다.