'예방 중심' 체계 전환? 개인정보위, 위탁 기관 소집 점검의 허실

-송경희 위원장, 한국지역정보개발원 방문해 공공실태점검단 중심 첫 현장 행보 개시
-주민등록시스템 및 클라우드 보안관제센터 둘러보며 안전조치 현황 파악 및 의견 청취

가요진 기자입력 : 2026. 06. 24(수) 11:03

가가

송경희 개인정보보호위원회 위원장. 사진=개인정보보호위원회 제공

[개인정보위/CTN]가요진 기자= 송경희 개인정보보호위원회 위원장은 "공공부문은 국민의 개인정보를 대규모로 처리하는 만큼 무엇보다 높은 수준의 개인정보 보호 책임이 요구된다"라면서, "특히, 국민 생활과 밀접한 관련이 있는 대규모 개인정보시스템을 중심으로 점검할 수 있도록 지원하여 국민이 안심할 수 있는 공공부문 개인정보 보호 체계를 구축해 나가겠다"라고 말했다. 개인정보보호위원회는 지난 12일 오후 한국지역정보개발원(KLID)을 방문하여 지방자치단체 개인정보처리시스템 관리 실태를 종합 점검하고 현장의 애로사항을 청취했다. 이번 점검은 지난 5월 국무회의에서 보고된 "예방중심 개인정보 관리체계 전환계획"의 후속조치 일환으로, 위원회 내 우수 인력으로 구성된 공공실태점검단이 주도하여 대규모 개인정보 처리 기관의 안전조치 이행 현황을 검증하기 위해 마련됐다.

이날 현장 방문에서 송경희 위원장은 사전 예방체계 운영 실태를 직접 살핀 후, 주민등록시스템 운영지원단과 클라우드 보안관제센터를 차례로 찾아 개인정보 처리 업무의 안전조치 이행 현황을 구체적으로 확인했다. KLID는 현재 지방자치단체의 행정정보시스템과 주소정보관리시스템 등 핵심 관리 업무를 위탁 운영하고 있는 핵심 기관이다. 개인정보위는 이번 점검을 시작으로 KLID에 시스템을 위탁 중인 광역자치단체 개인정보 보호 업무 담당자들에게 접근권한 설정 및 데이터 파기 등 자체 점검 방법을 안내할 계획이며, 향후 중앙행정기관과 공공기관 전반으로 관리실태 점검 지원을 확대해 나갈 방침이다.

다만 이처럼 위원장이 직접 위탁 운영 기관을 방문해 관제센터를 둘러보고 자체 점검 가이드라인을 배포하는 대대적인 행보를 두고, 보안 업계 일각에서는 정작 지자체 공무원들의 개인정보 무단 조회나 고질적인 시스템 계정 공유 등 현장의 근본적인 인적 보안 리스크를 차단할 실무적인 상시 감시 인프라 구축 대책은 빠져 있다는 지적이 나온다. 최근 공공기관의 개인정보 유출 사고가 빈발하며 대책 마련 요령이 시급해진 상황임에도, 규제 당국이 단순히 공공실태점검단 출범과 일회성 현장 방문 사진을 성과로 내세우는 것은 전형적인 관청 주도의 성과주의적 전시행정이라는 비판이 제기된다.

이러한 보여주기식 수시 점검 중심 정책의 한계를 극복하려면 단순히 기관별 자체 점검 횟수를 늘리는 속도전에 만족할 것이 아니라, 지자체 시스템별 접속 로그와 비정상적인 대량 다운로드 패턴 데이터를 실시간으로 모니터링하여 유출 징후를 사전에 탐지하는 "AI 기반 공공 개인정보 오남용 실시간 예보 연계 시스템"을 위원회 차원에서 선제적으로 가동해야 한다. 이에 더해 구호에만 그치는 예방 체계 전환 선언에 의존하기보다, 보안 역량이 취약한 기초 자치단체를 위해 '지방 데이터 보안 인프라 고도화 펀드'를 내실화하고 전문 정보보호 감독관 인력을 일선 자치구 현장에 실무적으로 상시 배치하는 조치가 수반되어야만 비로소 국민이 안심할 수 있는 실질적인 공공 보안 생태계가 정착될 것으로 보인다.

[영문번역 기사-AI활용]
Song Kyoung-hee, Chairperson of the Personal Information Protection Commission, stated, "Since the public sector processes citizens' personal information on a large scale, a higher level of responsibility for personal information protection is required above all else. In particular, we will support inspections focusing on large-scale personal information systems closely related to citizens' daily lives to establish a public sector personal information protection system that ensures public peace of mind." Although the Personal Information Protection Commission announced that it visited the Korea Local Information Research & Development Institute (KLID) on the afternoon of the 12th to comprehensively inspect the management status of local government personal information processing systems, criticisms are rising that the agency focuses heavily on a show-style promotion of short-term institutional field inspections while failing to offer permanent solutions for the chronic credential sharing and unauthorized lookups by regional public servants on-site. This monitoring project proceeded through typical procedures of visiting cloud security control centers and delivering self-audit guidelines to regional administrative managers.

Particularly this year, the commission heavily promoted the launch of its Public Inspection Task Force under the "Prevention-Oriented Personal Information Management System Transition Plan" reported to the Cabinet. However, critics point out that this is an administrative convenience-oriented obsession with achievements that highlights theoretical compliance frameworks while completely lacking concrete solutions for immediate system security, as central regulators merely evaluate pre-existing delegated networks without restructuring practical surveillance architectures. Amid climbing public sector data breach incidents that make administrative networks more vulnerable, the central government limits its response to temporary agency site visits to stack annual record books. The lack of practical developments—such as expanding baseline technical surveillance or directly underwriting local digital ledger firewalls—plainly exposes the reality of its exhibition administration.

To overcome the limitations of such show-style seasonal tours on policy, the commission must move beyond simple routine facility counting races and instead establish an "AI-Based Public Personal Information Misuse Real-Time Forecasting Linked System" in the jurisdiction that evaluates real-time access log metrics and mass-download patterns to automatically trigger data breach prevention alerts. Furthermore, rather than relying solely on slogan-driven administrative guide revisions, authorities should prioritize practical administrative support measures, such as internalizing a 'Local Data Security Infrastructure Advancement Fund' for underfunded smaller municipalities and practically deploying professional data protection inspectors on-site, which will serve as the realistic turning point to substantially ensure a balanced and safe administrative ecosystem for all citizens.