개인정보위 보안평가, 1년만 유출 사고 없으면 ‘보통’…털려도 ‘낙제점’ 면해
||2026.04.28
개인정보위는 27일 전국 1442개 공공기관을 대상으로 진행한 '2025년 공공기관 개인정보 보호수준 평가' 결과를 발표했다. 이는 국민 개인정보를 다루는 공공기관의 보안 수준을 국가가 체계적으로 관리하기 위해 2024년부터 실시한 제도다. 자체평가와 심층평가, 기타 가·감점 등을 포함해 점수대별로 S~D 5개 등급을 구분한다. 평가 결과, 전체 평균은 76.5점(B)으로 집계됐다. B등급을 받은 기관이 전년 대비(306곳) 크게 늘어 342곳(41.8%)으로 가장 많았던 영향이다. 보건복지부와 기후에너지환경부 등 54곳이 S등급을 받았으며, 경찰청과 대검찰청 등 256곳이 A등급을 받았다. 일부 기관을 제외한 대다수가 B등급과 A등급(31.3%) 순으로 자리했다. 소방청과 일부 지자체 등 일부만 최하위인 D등급으로 평가됐다. 개인정보위는 이들 미흡 기관에 대해 개선권고를 발령하고 이행점검을 실시할 계획이다.
표면적으로는 정부·공공기관 대부분이 중간 이상 등급으로 평가돼 보안이 준수한 것처럼 보인다. 그러나 실제로는 보안 상태가 취약한 것으로 알려진 기관들도 B등급으로 평가된 경우가 많은 것으로 분석됐다. 재작년에 이어 지난해도 B등급을 받은 경기도교육청은 2023년 297만건의 대규모 개인정보가 유출된 기관이다. 2020년 이래로 가장 많은 단일 건수다. 이번 평가에서 B등급을 받은 재외동포청 역시 지난 1월 국가정보원(국정원)의 '2025 국가·공공기관 사이버보안 실태평가' 결과에서는 가장 낮은 '미흡' 수준에 그쳤다.
평가를 받는 연도에 실제 대규모 유출사고가 발생해야만 바로 한 단계 아래인 C등급으로 내려간다. 이번에 C등급을 받은 한국연구재단은 지난해 6월 논문투고시스템(JAMS) 이용자 12만여명의 개인정보가 유출됐던 곳이다. 당시 이용자 1559명 명의로 특정 학회에 무단 가입되면서 실제 피해도 발생했다. 2024년 9월 135만건의 개인정보가 유출된 한국사회복지협의회 역시 같은 해 C등급으로 평가됐다.
언제 뚫려도 이상하지 않을 보안 수준이어도 실제 사고만 발생하지 않으면 B등급 이상은 보장된 구조다. 개인정보위가 각 기관별로 개인정보 유출 사고 발생 건당 최대 10점씩 감점한다는 것을 감안하면, 자체평가(60점)와 심층평가(40점)에서는 변별력이 미미하다는 의미다. 특히 점수 대부분을 차지하는 자체평가는 기관이 내부적으로 정량 평가해 이를 제출하는 방식으로, 외부에 의한 보안 체계 관리·감독과는 거리가 있다. 대표적으로 이번 평가를 주관한 개인정보위는 최상위인 S등급을 받았는데, 국정원이 현장 실사로 진행한 사이버보안 실태에서는 '보통' 수준에 그쳤다. 이 때문에 이번 평가에서 A나 B등급을 받아도 실제로는 그보다 보안 수준이 허술할 가능성이 크다는 분석이 나온다.
문제는 허술한 평가에도 불구하고 국내 민감정보를 취급하는 주요 부처, 기관들이 B등급 수준에 머무르는 경우가 많다는 것이다. 특히 국방부, 감사원, 국방과학연구소, 성평등가족부는 2024년에 이어 지난해에도 B등급에서 벗어나지 못했다. 심지어 법무부는 A에서 B등급으로 내려왔다. 국가적 안보 위기로까지 이어질 수 있는 수준의 정보들이 언제 유출될지 모르는 상황에도 표면적 등급에 따른 권고 조치에 그쳐 실질적인 개선이 없다는 지적이 나온다. 그동안 국가기관 개인정보 유출 규모는 2022년 65만건에서 2024년 391만건으로 지속 증가하는 상황이다.
감사원은 지난 1월 발표한 '개인정보 보호 및 관리실태'에서 개인정보위 평가 제도에 대해 "계도적·지원적 제도라는 이유로 공공기관에 대한 행정지도나 사전 실태점검 등도 미미해 조사 실효성이 확보되지 못하고 있다"고 지적했다.
1
2
3
5
