[아이뉴스24 윤소진 기자] 개인정보보호위원회가 공공기관 정보화사업에서 발생한 개인정보 유출 사고와 관련해 수탁업체에도 안전조치의무 위반 책임을 별도로 물을 수 있다는 기준을 제시했다. 그간 공공 위·수탁 구조에서 모호했던 책임 소재가 정리되면서 시스템통합(SI)·유지보수 사업자들의 개인정보 관리 의무가 한층 무거워질 전망이다.
![송경희 개인정보보호위원회 위원장이 27일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제10회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. [사진=개인정보보호위원회]](https://image.inews24.com/v1/6839c238c807af.jpg)
개인정보보호위원회는 지난 27일 제10회 전체회의를 열고 개인정보보호법을 위반한 행정안전부(행안부)·농촌진흥청(농진청)·국립농업과학원·국립축산과학원 등 4개 공공기관과 수탁업체 미소테크에 총 과징금 5억4660만원과 과태료 1200만원을 부과하는 등의 처분을 의결했다.
핵심은 공공 정보화사업 유출 사고의 책임 주체를 보다 구체적으로 확립했다는 점이다. 개인정보위는 소스코드 개발 오류나 보안 취약점 미조치 등 시스템 안전성 확보 실패로 유출이 발생한 경우 최종 책임 주체인 공공기관에 안전조치의무 위반 책임이 있음을 명확히 하면서도, 수탁자에게 고유 과실이 있으면 수탁자도 별도로 제재할 수 있다는 기준을 함께 제시했다.
이번 처분에 적용된 개인정보보호법 제29조 '안전조치의무'는 개인정보처리자가 분실·도난·유출 등이 발생하지 않도록 내부 관리계획 수립, 접근통제, 암호화 등 기술적·관리적·물리적 조치를 취하도록 한 규정이다.
같은 법 제26조 4항 '수탁자 관리·감독 의무'는 위탁자가 수탁자의 개인정보 처리 현황을 점검·감독하도록 한 조항으로, 공공·민간을 가리지 않고 위·수탁 구조에서 공통 적용된다. 개인정보위는 이번 사안에 두 조항을 동시에 적용했다.
미소테크 NAS서 57만건 다크웹 유출…농진청은 '확약서'만 받았다
농진청 수탁사 미소테크는 위탁받은 개인정보를 자체 네트워크저장장치(NAS)에 5년간 무단 보관했고, 해당 NAS의 접근통제 부실로 지난해 4월 57만5000여건이 다크웹에 유출됐다. 위탁자인 농진청 등은 용역 종료 시 '자료미보유확약서'만 받고 실제 파기 여부나 수탁업체의 개인정보 보유 현황을 점검하지 않은 사실이 드러났다.
확약서 수령만으로 사후 관리를 갈음해 온 공공 발주 관행에도 제동이 걸렸다. 위탁자가 실질적 점검 권한을 행사하지 않으면 수탁자 감독 의무 위반으로 직접 제재 대상이 된다.
개인정보위는 미소테크에 과징금 8250만원, 농진청 1억6800만원, 국립농업과학원 2310만원을 부과하고 국립축산과학원에는 시정명령을 의결했다. 행안부에는 정부24·공유누리 운영 과정의 안전조치의무 위반 등을 사유로 과징금 2억7300만원과 과태료 750만원이 부과됐다.
행안부 처분 사유는 시스템 운영 전반에 걸쳐 있다. 2024년 4월 정부24 소스코드 오류로 나이스(NEIS) 민원서류·납세증명서 1233명분이 유출됐고, 주민등록증 발급상황 조회 서비스와 공유누리 게시판에서도 잇따라 정보가 새어 나갔다. 유출 인지 후 72시간 통지 의무 위반과 처리방침상 수탁업체 메타빌드㈜ 누락도 함께 적발됐다. 개발 단계 테스트 누락, 본인인증 모듈 취약점 방치, 처리방침 관리 부실이 모두 위반 사유에 포함됐다.
수탁사 직접 제재 길이 열리면서 공공 SI·유지보수 시장에서는 입찰 단계부터 수탁사 자체 안전조치 체계가 평가 변수로 떠오르게 됐다. 개인정보위는 앞으로 공공부문 정보화사업의 개인정보 취약요인을 지속 점검하고 위·수탁 관리 공백을 최소화하기 위한 현장 중심 감독을 강화할 방침이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기