공공기관 1442곳 개인정보 관리실태 뜯어보니…기초자치단체 '낙제점'

사건의 배경

 

이번 기사는 개인정보보호위원회가 발표한 ‘2025년 공공기관 개인정보 보호수준 평가’ 결과를 다루고 있다. 보도에 따르면 개인정보위는 4월 27일 전국 1442개 공공기관을 대상으로 실시한 평가 결과를 공개했는데, 보건복지부, 한국수력원자력, 건강보험심사평가원 등 일부 기관을 제외하면 대다수 공공기관의 개인정보 보호 수준이 여전히 기대에 못 미치는 것으로 나타났다. 특히 지역 주민 개인정보를 직접 다루는 기초자치단체의 성적이 가장 낮았다는 점이 눈에 띈다.

공공기관은 민간보다 훨씬 많은 주민정보와 행정정보를 다루고, 주민 입장에서는 사실상 선택 없이 개인정보를 맡길 수밖에 없는 곳이다. 그런데 그런 기관들의 평균 관리 수준이 기대보다 낮고, 특히 주민과 가장 가까운 기초자치단체가 가장 취약하다는 건 구조적인 위험으로 느껴졌다.

 

개인정보 침해 쟁점

 

이번 평가에서 가장 중요하게 보인 건, 공공기관들이 법에서 요구하는 기본 요건은 대체로 맞추고 있지만 실제 운영은 여전히 형식적이라는 점이었다. 기사에 따르면 보안 프로그램 설치나 가명정보 처리 같은 법정 의무를 점검하는 정량 지표 이행률은 90% 수준이었다. 겉으로 보면 대부분의 기관이 기본 요건은 잘 갖춘 것처럼 보인다.

그런데 전문가 심층평가에서는 상황이 달랐다. ‘안전성 확보 노력’ 지표는 5점 만점에 평균 2.26점에 그쳤고, 내부 관리계획을 세우면서 기관장 승인을 누락하거나 점검을 형식적으로 운영하는 사례가 많았다고 한다. 서류상 계획은 있지만 기관장이 보지 않고, 점검 기록은 있지만 실질 점검은 하지 않는 구조라면 개인정보 보호 체계는 사실상 정상적으로 작동하지 못한다는 뜻이다.

특히 기초자치단체의 평균 점수가 73.2점으로 가장 낮았다는 점이 주목할 만하다. 시·군·구는 주민등록, 복지, 세금, 민원, 돌봄처럼 주민의 일상과 가장 밀접한 개인정보를 직접 다루는 기관이다. 즉 가장 민감하고 생활 밀착적인 정보를 가장 많이 다루는 곳이 가장 취약하다는 뜻이다. 

 

관련 규범을 찾아보며

 

공공기관 개인정보 보호수준 평가는 개인정보 보호법에 따라 2024년부터 시행된 제도다. 사고가 날 때 대처하는 것뿐만 아니라 평상시 각 기관이 개인정보를 얼마나 체계적으로 관리하고 있는지를 사전에 점검하는 구조에 가깝다. 개인적으로는 이 제도가 사고 대응보다 예방 중심 관리 체계를 공공부문에 정착시키려는 장치로 보였다.

이번 평가 결과를 보면 정량지표와 정성지표의 차이가 특히 의미 있게 느껴졌다. 정량지표는 보안 프로그램 설치 여부, 가명정보 처리 여부처럼 했는가를 묻는다. 반면 정성지표는 기관장 관여, 내부 관리계획의 실효성, 점검의 내실처럼 실제로 작동하는지 여부를 본다. 이번 결과에서 정량은 높고 정성은 낮았다는 건, 공공기관 개인정보 보호가 아직도 규정 준수 중심에 머물고 있다는 뜻에 가깝다.

이 부분을 보면서 개인정보 보호 체계는 결국 문서와 시스템이 아니라 거버넌스 문제라는 생각이 다시 들었다. 규정은 만들 수 있고, 보안 프로그램도 설치할 수 있다. 하지만 기관장이 책임을 지고, 점검 결과가 실제 개선으로 이어지고, 보호 체계가 조직 안에서 계속 작동하게 만드는 건 결국 운영 구조의 문제다. 기사에서 기관장 승인 누락과 형식적 점검이 반복적으로 지적된 것도 같은 맥락으로 보였다.

 

제도적 의미

 

이번 평가의 제도적 의미는 공공기관 개인정보 보호 수준이 단순히 기술이나 예산 문제가 아니라, 조직 책임성과 관리 의지의 문제라는 점을 수치로 보여줬다는 데 있다고 생각한다. 기사에서도 서류는 완벽하지만 현장은 형식적 점검에 그친다는 표현이 나오는데, 이건 공공부문 개인정보 보호의 가장 전형적인 취약점처럼 느껴졌다. 시스템은 있지만 운영이 약하고, 규정은 있지만 책임이 흐릿한 구조다.

또 하나 눈에 띄는 건 평소 잘 관리하던 기관은 실제 사고도 적었다는 점이다. 기사에 따르면 신기술 환경에서 개인정보를 안전하게 활용한 기관은 전체 평가 점수도 높았고, 반대로 유출 사고로 감점받은 기관은 기본 점수 자체가 낮았다. 결국 사고는 갑자기 생기는 예외 상황이 아니라, 평소 관리 수준이 누적된 결과라는 점이 수치로 확인된 셈이다. 

또 맞춤형 컨설팅에 참여한 기관 절반 이상이 등급을 올렸고 평균 점수도 9.6점 상승했다는 부분도 인상적이었다. 개인정보 보호 수준이 단순히 조직 규모나 예산으로만 결정되는 게 아니라, 관리 체계를 어떻게 설계하고 점검하느냐에 따라 실제 개선될 수 있다는 점을 보여주기 때문이다.

 

내가 배운 점

 

공공기관은 민간보다 더 많은 정보를 강제적으로 수집할 수 있는 만큼, 평상시 관리 책임도 더 무거워야 한다고 생각한다. 그런데 실제로는 주민과 가장 가까운 기관일수록 보호 수준이 낮았다는 점이 꽤 인상적으로 남았다.

개인정보 보호에서 형식과 실질의 차이에 대해서도 생각해 보게 되었다. 문서상 계획과 실제 운영은 전혀 다를 수 있고, 체크리스트를 채웠다고 보호 체계가 작동하는 것도 아니다. 개인정보 보호를 볼 때 규정 존재 여부보다, 그 규정이 실제로 돌아가는 구조인지 더 중요하게 봐야 한다는 걸 다시 느꼈다.

 

정리하며

 

이번 공공기관 개인정보 보호수준 평가는 전국 1442개 공공기관의 개인정보 관리 수준을 점검한 결과, 법정 의무 이행률은 높지만 실제 운영의 내실은 여전히 부족하다는 점을 보여줬다. 특히 주민 개인정보를 가장 가까이에서 다루는 기초자치단체의 평균 점수가 가장 낮았고, 기관장 승인 누락과 형식적 점검 같은 거버넌스 부실이 반복적으로 지적됐다.

개인적으로는 이번 평가가 공공기관 개인정보 보호의 핵심 문제가 기술 부족보다 책임 구조와 운영 의지에 있다는 점을 가장 분명하게 보여줬다고 느꼈다. 공부하는 입장에서도 개인정보 보호는 결국 규정을 만드는 일보다, 그 규정이 실제 조직 안에서 작동하게 만드는 책임 구조의 문제라는 점을 다시 생각하게 만든다.

 

참고 자료

• 뉴시스, 「공공기관 1442곳 개인정보 관리실태 뜯어보니…기초자치단체 '낙제점'」, 2026-04-27.
  
  

기사 원문

 

https://www.newsis.com/view/NISX20260427_0003607387

공공기관 1442곳 개인정보 관리실태 뜯어보니…기초자치단체 '낙제점'