살인 부른 '공무원 개인정보 유출', 수원시 과태료 고작 360만원

개인정보위, 관리책임 소홀 수원시 제재
개인정보 목적외 사용, 접근제한도 안해
공무원이 팔아넘긴 개인정보가 살인 불러
'사건 엄중함 비해 제재 너무 가볍다' 지적
주무부처 개인정보위 '제식구 감싸기' 비판

양청삼 개인정보보호위원회 조사조정국장이 22일 정부서울청사에서 공무원이 흥신소에 개인정보를 유출한 사건 관련 수원시에 대한 조사 및 제재 결과를 발표하고 있다. 개인정보위 제공

[파이낸셜뉴스] 지난해 12월 지자체 공무원이 팔아넘긴 개인정보가 살해사건으로 이어지게 한 책임을 물어 수원시가 개인정보보호위원회로부터 360만원의 과태료 제재를 받았다. 수원시는 개인정보 안전조치 및 목적외 사용 금지 등의 관리 감독조치를 소홀히 해 개인정보보호법을 위반했다.

하지만 국민의 많은 공분을 산 이번 사건의 엄중함에 비해 개인정보 관리 책임을 다하지 않고 무단사용을 사실상 방관한 수원시 등 관계당국 및 직접 책임자에 대한 개인정보위의 제재가 너무 가볍다는 지적이 일고 있다.

주무부처인 개인정보위가 정부·지자체 등 공적 영역의 개인정보보호 관리·감독에 소홀하다는 지적과 '제식구 감싸기 아니냐'는 비판을 피하기 어려워 보인다.

개인정보위는 "현행 법상 과태료·과징금 제재수단이 별로 없다"는 입장이지만, 인구 120만명의 수원특례시에 부과된 과태료가 고작 360만원에 불과하다는 점에서 법이 현실과 국민 눈높이에 크게 동떨어졌다는 지적이다.

22일 개인정보보호위원회는 정부서울청사에서 제11회 전체회의를 열고 개인정보보호법을 위반한 수원시청에 과태료 360만원을 부과하고 시정조치 및 공표를 의결했다. 관계당국인 국토교통부에는 개선권고가 내려졌다.

개인정보보호법 위반으로 지자체에 개선 권고가 아닌 과태료를 부과한 것은 이례적이다. 전 국민을 대상으로 개인정보를 다루는 공공기관의 대규모 행정시스템에 대한 처분은 처음이라는 게 개인정보위의 설명이다.

개인정보위는 지난 1월 수원시를 비롯해 유출 관련 개인정보처리시스템을 관리하는 국토부에 대한 조사에 착수했다.

조사의 발단은 지난해 12월 신변보호 여성의 가족이 살해된 사건이다. 수원시 권선구청 건설과 소속 공무원이 차적 조회 권한을 이용해 지난 2020년 1월부터 2년에 걸쳐 개인정보 1101건을 불법 조회, 흥신소에 팔아넘긴 일이다. 이렇게 유출된 개인정보가 신변보호 여성의 집을 찾아가 가족을 살해한 사건의 단서가 됐다. 공무원의 개인정보 유출로 국민적 공분은 컸다.

조사 결과, 개인정보를 유출한 수원시 권선구 공무원은 수원시의 자치사무인 불법노점 단속, 건설기계조종사면허 발급 업무를 수행하던 자였다. 이 업무를 수행하기 위해 부여받은 자동차관리정보시스템과 건설기계관리정보시스템의 사용권한으로 타인의 개인정보를 무단으로 조회했다. 약 2년 동안 흥신소 업자에게 주소 등 개인정보 1101건을 유출했다.

이 시스템을 이용하면 민원신청 대상이 아니더라도 차량번호및 성명과 주민등록번호 조합으로 모든 국민의 개인정보 조회가 가능하다.

수원시는 개인정보보호법을 위반했다.

수원시는 자동차 등록, 건설면허 발급 업무를 목적으로 국토부 시스템에서 개인정보를 조회·수집, 자신의 개인정보파일을 생성·관리하는 개인정보처리자이다.

수원시는 자동차관리법령상 부여받은 자동차 관련 시스템의 접근 권한을 국토부 장관의 승인을 받지 않고, 법에 규정된 업무 목적을 벗어나 불법노점단속 업무에 활용했다.

개인정보보호법(제18조 제1항 목적 외 이용) 위반이다.

또 수원시는 건설기계조종사면허 발급 업무 처리를 위해 수원시 권선구 공무원에게 건설기계시스템의 사용 권한을 부여할 때, 업무에 필요한 최소한의 범위를 벗어난 더 상위의 접근권한을 부여했다.

인사발령으로 최소 1년 이상 건설기계 관련 업무를 수행하지 않는 4명에 대한 건설기계시스템 사용 권한을 말소하지 않았다. 최근 3년간 자동차시스템과 건설기계시스템을 사용하는 수원시 사용자에 대한 접속기록을 점검하지 않았다. 이 또한 개인정보보호법(제29조 안전조치의무) 위반이다.

수원시는 권선구 공무원이 개인정보보호 교육을 이수하도록 관리하지 않았다. 권선구 공무원에게 부여된 사용자 권한을 소관 업무 용도로만 사용하는지 여부도 점검하지 않았다. 개인정보보호법상 개인정보취급자에 대한 관리·감독 의무 위반이다.

관련 중앙부처인 국토부는 개선 권고를 받았다.

국토부는 자동차시스템 및 건설기계시스템 운영 주체다. 수원시를 포함한 이용기관의 시스템 이용에 대한 총괄적 관리·감독 책임이 있다.

국토부가 받은 개선 권고는 △각 지자체들이 불법노점 단속시 자동차관리정보시스템을 이용하는 지 현황을 파악해 개선 대책을 마련하는 것 △개인정보처리자들이 업무에 필요한 최소한의 개인정보에만 접근할 수 있도록 개인정보처리시스템을 개선해야 하는 것이다.

윤종인 개인정보위원장은 "공공기관은 민간기업과 달리, 정보주체 동의가 아닌 법적 근거에 의해 개인정보를 수집·처리한다.

이 때문에 국민 개인정보 보호에 더욱 엄정한 기준과 조치가 필요하다"고 말했다.

skjung@fnnews.com 정상균 기자