송경희 개인정보보호위원회 위원장. 2025.11.20.

국문 기사

개인정보보호위원회는 57개 공공시스템을 운영하는 38개 기관을 점검하고 일부 이행이 미흡한 기관에 대해 시정권고했다고 21일 밝혔다.

◆3년간 전수점검 완료, 2개 기관만 전 과제 이행

개인정보위는 2023년부터 올해까지 3년간 국민 데이터를 대규모로 처리하는 집중관리시스템 운영기관의 의무 이행실태를 집중 점검했다. 이번 3년차 점검은 사전 실태점검 방식으로 진행됐으며 지난 10월까지 7개월간 서면조사와 현장점검을 병행했다.

개인정보위는 국민신문고, 홈택스 등 주요 공공서비스 시스템 57곳과 이를 운영하는 38개 기관을 점검한 결과, 개인정보 보호를 위한 강화된 안전조치 의무(4대 분야, 10대 과제)를 제대로 지키지 않은 사례에 대해 36개 기관에 시정권고를 내렸다. 10대 과제를 모두 이행한 기관은 국세청과 한국부동산원 2곳에 불과했다.

국토교통부(주택소유확인시스템), 한국전력공사(송변전보상지원시스템), 국세청(세정업무포털)은 10대 과제 이행이 우수한 사례로 확인됐다.

◆시스템 관리체계 이행률 대폭 향상

지난 3년간 안전조치 특례 이행률은 전반적으로 향상됐다. 시스템 관리체계 분야는 3개 과제 모두 높은 이행률을 보였다. 개인정보보호 협의회 설치·운영 과제는 34%(1차)에서 91%(3차)로, 책임자 지정은 90%(1차)에서 98%(3차)로, 안전조치방안 수립은 48%(1차)에서 95%(3차)로 개선됐다.

접근권한 관리 분야에서는 인사정보 연계 과제가 34%(1차)에서 72%(3차)로, 비공무원 계정발급 절차 도입은 68%(1차)에서 90%(3차)로 이행률이 상승했다. 다만 접근권한 현행화는 이용기관 협조 부족 등으로 이행률이 30%로 낮게 나타났다.

접속기록 점검 분야에서는 이용기관 접속기록 점검 과제가 45%(1차)에서 58%(3차)로, 이상행위 탐지는 52%(1차)에서 70%(3차)로 개선됐으나 기능도입 예산확보 어려움 등으로 다른 분야보다 점진적인 개선 추세를 보였다.

인력 및 시스템 확충 분야에서는 전담인력 확충 과제가 기관별 평균 1.7명(1차)에서 2.7명(3차)으로 대폭 증가했고, 시스템 개선계획 수립도 85%(1차)에서 98%(3차)로 이행률이 높게 나타났다.

◆내년부터 상시 평가체계 전환

개인정보위는 3년간 전수점검 결과를 바탕으로 내년부터 공공기관 보호수준 평가를 통해 상시 점검할 방침이다.

개인정보위는 최근 증가하는 공공부문 유출에 대응해 모의해킹 등 취약점 점검 의무를 보다 강화하는 방향으로 집중관리시스템 안전조치 특례제도를 개선하는 한편, 주요 취약점의 보완방안 마련 등 선제적 예방조치를 확대해나갈 계획이다.

개인정보위는 최근 발생한 국가정보자원관리원(대전센터) 화재 이후 관련 기관에 개인정보 안전관리 특별컨설팅 지원계획을 안내하고 자가진단 체크리스트를 배포했으며, 컨설팅 신청을 접수받고 있다.

현재 한국장례문화진흥원(e하늘장사정보시스템)과 한국사회보장정보원(디지털돌봄시스템 등 3개 시스템) 2개 기관으로부터 신청받아 시스템 백업 및 복구 계획, 외부 불법접근 등에 대한 컨설팅을 진행 중이며 추가 신청기관에 대해서도 진행할 예정이다.

허재원 기자

영문 기사

아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.

Personal Information Protection Commission Inspects 57 Public Systems... "Only 2 Institutions Complete All 10 Tasks"

Completed 3rd year inspection of 38 institutions, issued corrective recommendations to 36 institutions... Only National Tax Service and Korea Real Estate Board implemented all tasks

The Personal Information Protection Commission announced on the 21st that it inspected 38 institutions operating 57 public systems and issued corrective recommendations to some institutions with insufficient implementation.

◆Completed 3-year comprehensive inspection, only 2 institutions implemented all tasks

The Personal Information Protection Commission conducted intensive inspections of compliance status of centralized management system operating institutions that process large-scale public data from 2023 to this year over three years. This third-year inspection was conducted as a preliminary status check, combining written surveys and on-site inspections for seven months until last October.

The Personal Information Protection Commission inspected 57 major public service systems including Minwon 24 and Hometax and 38 institutions operating them, and issued corrective recommendations to 36 institutions for cases that did not properly comply with strengthened safety measure obligations for personal information protection (4 major areas, 10 tasks). Only two institutions, the National Tax Service and Korea Real Estate Board, implemented all 10 tasks.

The Ministry of Land, Infrastructure and Transport (Housing Ownership Confirmation System), Korea Electric Power Corporation (Transmission and Substation Compensation Support System), and National Tax Service (Tax Administration Portal) were confirmed as excellent cases of implementing the 10 tasks.

◆System management system implementation rate significantly improved

The implementation rate of special safety measures improved overall over the past three years. The system management system area showed high implementation rates for all three tasks. The task of establishing and operating a personal information protection council improved from 34% (1st) to 91% (3rd), designation of responsible persons from 90% (1st) to 98% (3rd), and establishment of safety measures from 48% (1st) to 95% (3rd).

In the access authority management area, the task of linking personnel information rose from 34% (1st) to 72% (3rd), and introduction of non-public official account issuance procedures from 68% (1st) to 90% (3rd). However, updating access authority showed a relatively low implementation rate of 30% due to lack of cooperation from user institutions.

In the access record inspection area, the task of inspecting user institution access records improved from 45% (1st) to 58% (3rd), and abnormal activity detection from 52% (1st) to 70% (3rd), but showed a gradual improvement trend compared to other areas due to difficulties in securing budgets for function introduction.

In the personnel and system expansion area, the task of expanding dedicated personnel increased significantly from an average of 1.7 persons (1st) to 2.7 persons (3rd) per institution, and establishment of system improvement plans showed a high implementation rate from 85% (1st) to 98% (3rd).

◆Transition to regular evaluation system from next year

The Personal Information Protection Commission plans to conduct regular inspections through public institution protection level evaluations from next year based on the results of comprehensive inspections over three years.

The Personal Information Protection Commission plans to improve the centralized management system safety measure special system in a direction to strengthen vulnerability inspection obligations such as mock hacking in response to increasing public sector leaks, while expanding preemptive preventive measures such as preparing supplementary measures for major vulnerabilities.

The Personal Information Protection Commission provided guidance on personal information safety management special consulting support plans to related institutions after the recent fire at the National Information Resources Service (Daejeon Center), distributed self-diagnosis checklists, and is accepting consulting applications.

Currently, consulting is underway for two institutions, Korea Funeral Culture Promotion Agency (e-Haneul Funeral Information System) and Korea Social Security Information Service (Digital Care System and 3 other systems), on system backup and recovery plans and external illegal access, and will proceed for additional applicant institutions.

Reporter Heo Jae-won