2022-06-27 08:45 (월)
흥신소에 개인정보 유출...개인정보보호법 위반한 수원시청에 과태료...국토부에는 개선권고 
상태바
흥신소에 개인정보 유출...개인정보보호법 위반한 수원시청에 과태료...국토부에는 개선권고 
  • 길민권 기자
  • 승인 2022.06.22 21:33
이 기사를 공유합니다

공공부문 개인정보 유출 방지대책 범부처 합동으로 마련 계획
출처=개인정보보호위원회
출처=개인정보보호위원회

중앙행정기관이 구축·운영하고 전국 지방자치단체(이하 ‘지자체’)가 공동으로 사용하는 대규모 개인정보처리시스템에 대해 개인정보 법령 위반 여부를 조사하고 처분한 첫 사례가 나왔다.

개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 6월 22일 정부서울청사에서 제11회 전체회의를 열고, 개인정보보호 법규를 위반한 수원시청(이하 ‘수원시’)에 과태료 부과와 시정조치를, 개인정보보호를 강화할 필요가 있다고 인정된 국토교통부(이하 ‘국토부’)에 개선권고를 각각 의결했다.

개인정보위가 공식 출범한 2020년 8월 5일 이전에는 지자체 대상으로 개선권고 처분만 내려졌으며, 출범 이후에는 지자체가 운영하는 소규모 시스템에 한해 과태료 처분을 한 사례는 있지만, 전 국민을 대상으로 개인정보를 다루는 공공기관의 대규모 행정시스템에 대한 처분 사례는 이번이 처음이다.

구체적인 내용을 살펴보면, 개인정보위는 수원시 권선구 공무원이 개인정보를 흥신소에 유출했다는 신고를 접수했다. 수원시 유출신고는 지난 21년 12월 발생한 송파구 가족살인 사건 관련 신고였다. 

이에 공공기관의 개인정보 유출사건에 대한 국민적 우려를 해소하기 위해 지난 22년 1월 17일 수원시를 비롯해 유출 관련 개인정보처리시스템을 관리하는 국토부에 대한 조사도 착수했다.

조사 결과, 해당 수원시 권선구 공무원은 수원시의 자치사무인 ‘불법노점 단속’ 업무와 ‘건설기계조종사면허 발급’ 업무를 수행하던 자로, 해당업무를 수행하기 위해 부여받은 자동차관리정보시스템(이하 ‘자동차시스템’)과 건설기계관리정보시스템(이하 ‘건설기계시스템’)의 사용권한으로 타인의 개인정보를 무단으로 조회하여, 약 2년 동안 흥신소 업자에게 주소 등 개인정보 1천101건을 유출한 사실을 확인했다.

수원시에 대한 위법성 및 시정조치의 세부 내용은 다음과 같다.

먼저 수원시는 자동차 등록, 건설면허 발급 업무를 목적으로 국토부 시스템에서 개인정보를 조회·수집 등을 하여 자신의 개인정보파일을 생성·관리하는 개인정보처리자이다.

위법성 여부를 살펴보면 첫째, 수원시가 자동차관리법령상 부여받은 자동차 관련 시스템의 접근권한을 국토부장관의 승인을 받지 않고, 법에 규정된 업무 목적을 벗어나 불법노점단속 업무에 활용한 행위는 개인정보 보호법 제18조 제1항(목적 외 이용) 위반에 해당한다.

둘째, 수원시는 ‘건설기계조종사면허 발급’ 업무 처리를 위해 수원시 권선구 공무원에게 건설기계시스템의 사용권한을 부여할 때, 업무에 필요한 최소한의 범위를 벗어난 더 상위의 접근권한을 부여하였다.

또한 인사발령으로 최소 1년 이상 건설기계 관련 업무를 수행하지 않는 4명에 대한 건설기계시스템 사용 권한을 말소하지 않았으며, 최근 3년간 자동차시스템과 건설기계시스템을 사용하는 수원시 사용자에 대한 접속기록을 점검하지 않아 보호법 제29조(안전조치의무)를 위반한 것으로 밝혀졌다.

셋째, 수원시가 권선구 공무원이 개인정보보호 교육을 이수하도록 관리하지 않고, 권선구 공무원에게 부여된 사용자 권한을 소관 업무 용도로만 사용하는지 여부를 점검하지 않는 등 보호법 제28조 제1항에 따른 개인정보취급자에 대한 관리·감독 의무를 위반하였다.

이러한 위법행위에 대해 개인정보위는 수원시에 360만 원의 과태료를 부과하고, 법 위반사항에 대한 시정조치 및 공표와 함께, 법 위반행위에 대해 책임이 있는 자에 대해 징계할 것을 권고하였다.

또한, 국토부에 대해서는 자동차시스템 및 건설기계시스템 운영 주체로서 수원시를 포함한 이용기관의 시스템 이용에 대한 총괄적 관리·감독 책임이 있음을 감안하여 개선권고를 의결했다.

이에 따라 국토부는 각 지자체들이 불법노점 단속시 자동차관리정보시스템을 이용하는 지 현황을 파악해 개선대책을 마련하고, 개인정보처리자들은 업무에 필요한 최소한의 개인정보에만 접근할 수 있도록 개인정보처리시스템을 개선해야 한다.

윤종인 개인정보위 위원장은 “공공기관은 민간기업과 달리, 정보주체의 동의가 아닌 법적 근거에 의하여 개인정보를 수집·처리하므로 국민 개인정보 보호에 더욱 엄정한 기준과 조치가 필요하다”며 “공공부문의 개인정보 보호에 대한 국민의 신뢰를 얻기 위해 공공부문 개인정보 유출 방지대책을 범부처 합동으로 마련하고, 이른 시일 내 발표할 것”이라고 말했다.

★정보보안 대표 미디어 데일리시큐!★