쿠팡에서 내부 직원 소행으로 3000만 명이 넘는 이용자의 전화번호와 주소 등 주요 개인정보가 유출된 가운데, 최근 민간·공공기관에서 발생한 개인정보 유출 사고 10건 중 6건은 이번 쿠팡 사례처럼 ‘내부자 업무 과실’에 따른 것으로 나타났다.
1일 더불어민주당 김남근 의원실이 개인정보보호위원회 자료를 분석한 결과, 개인정보위 출범(2020년 8월) 이후 올해 9월까지 최근 5년간 개인정보를 유출한 기관은 467곳이었다. 이 기간 유출된 개인정보는 총 1억916만4950건으로, 전체의 93.8%(1억237만여 건)가 민간기관에서 발생했다. 공공기관 유출은 679만여 건(6.2%)에 그쳤다. 특히 해마다 상위 5~10개 기관이 전체 유출의 70~95%를 차지해 사고가 소수 기관에 집중되는 구조도 드러났다.
유출 원인을 보면 외부 해킹보다 내부 소행·실수 비중이 더 컸다. 민간기관 380곳 중 220곳(58%)이 업무 과실로 사고를 냈고, 공공기관에서도 전체 87곳 중 62곳(71%)이 내부 과실이 원인이었다. 민간에서는 해킹 비중이 상대적으로 높았지만(45.7%), 공공의 경우 대부분이 내부 과실로 집계됐다. 다만 ‘업무 과실’에는 고의 유출뿐 아니라 ‘경위 확인 불가’ ‘파악 중’ 사례가 포함돼 실제 내부자 비율은 더 높을 가능성이 있다는 지적이 나온다.
제재 수준도 낮은 것으로 나타났다. 같은 기간 총 1795건의 처분 중 가장 많은 유형은 과태료(41.8%)였고 공표(16.7%), 시정명령(14.9%), 개선권고(10.8%)가 뒤를 이었다. 고발은 3건(0.2%), 징계권고는 17건(0.9%)에 불과해 중대한 유출 사고에도 경징계 위주의 처분이 지속되고 있다는 비판이 제기된다.
최근 5년간 누적 과징금은 3671억1586만 원, 과태료는 39억6880만 원이었다. 이를 전체 유출 건수로 나누면 개인정보 1건당 과징금은 평균 3300원, 과태료는 33원 수준이다. 국민 1명당 두 건꼴로 정보가 유출됐지만 사고당 부담이 ‘커피값’에도 못 미치는 셈으로, 제재 실효성을 높이는 제도 개선이 필요하다는 지적이 나온다.
