앞으로 개인정보와 관련한 보안 사고가 발생한 공공기관은 경영평가에서 해당 분야 0점의 평가를 받는다. 중대 재해가 발생한 것과 같은 수준의 '페널티'를 받는 셈이다. 임직원 성과급뿐 아니라 경우에 따라 기관장 거취에도 영향을 주는 경영평가에 페널티를 줘 공공기관의 정보보안 관리체계를 강화하겠다는 계획이다.
5일 관계부처에 따르면 기획재정부는 이런 내용의 '2025년 공공기관 경영평가편람'을 확정했다. 공공기관 경영평가편람(이하 편람)은 기재부가 매년 실시하는 공공기관 경영평가의 기준과 방법을 담고 있다. 편람에 맞춰 공기업과 준정부기관 평가가 이뤄지고 결과에 따라 등급이 결정된다. 등급은 성과급 등에 직접적인 영향을 준다.
기재부는 개인정보 보호와 사이버 안전 확보를 위한 평가를 강화하도록 평가 기준을 고쳤다. 지금까지 국가정보원의 공공기관 정보보안 관리실태평가 결과 등에 따라 0.5점의 계량 점수를 부여했는데 이번에 '개인정보 보호 및 사이버 안전과 관련한 중대한 규정 위반 또는 보안 사고가 발생한 경우에는 0점 부여 가능'이라는 문구를 신설했다.
즉, 보안 규정을 어기거나 보안 사고가 발생한 경우에는 계량 평가와 무관하게 0점 처리할 수 있는 근거를 마련한 것이다. 산업재해 방지를 위해 중대 재해가 발생한 경우 0점 처리할 수 있도록 한 현행 기준과 같은 맥락이다. 해당 분야에서 0점을 받게 되면 점수 차이가 크지 않는 공공기관 경영평가의 특성상 등급이 떨어질 수 있다.
기재부가 공공기관 정보보안 강화에 나선 건 최근 AI(인공지능) 등 기술 발달에 따라 공공부문의 보안사고가 급증하고 있기 때문이다.
개인정보보호위원회에 따르면 개인정보 유출 신고 공공기관은 매년 증가 추세다. 실제 2019년 8곳에 그쳤던 개인정보 유출 신고 공공기관은 △2020년 11곳 △2021년 22곳 △2022년 23곳 △2023년 41곳으로 증가했다. 지난해의 경우 1~7월 누적 개인정보 유출 신고 공공기관이 67곳에 이르는 등 한 달 평균 약 10곳의 공공기관에서 국민들의 개인정보가 외부에 유출되고 있는 실정이다.
예컨대 지난해 1월 한국사회복지협의회는 해킹을 당해 '사회복지 자원봉사 정보관리시스템(VMS)' 홈페이지 데이터베이스에 보관된 회원 135만명의 개인정보가 유출됐다.
이에 앞서 2023년 6월에는 한국장학재단 홈페이지가 '크리덴셜 스터핑' 방식의 해킹으로 약 3만2000명의 개인정보가 유출되는 사고가 벌어졌다. '크리덴셜 스터핑'은 공격자가 다른 곳에서 계정·비밀번호 정보를 취득한 뒤 다른 사이트에서도 이를 동일하게 사용해 성공할 때까지 로그인을 시도하는 공격이다.
문제는 공공기관 보안사고 관련 처분이 솜방망이에 그친다는 점이다.
개보위가 출범한 2020년 8월부터 지난해 5월까지 공공기관당 평균 과징금은 2342만원으로, 민간기업 평균(17억6321만원)의 1.3% 수준에 불과했다. 개인정보보호법에서 매출액이 없거나 매출액 산정이 힘든 공공기관 등에 부과하는 최대 과징금을 20억원으로 제한한 영향이다. 반면 민간기업 과징금 상한은 '전체 매출액의 3%'(위반행위와 관련 없는 매출액 제외)로 규정하고 있다.
이에 따라 관계부처는 관련 경영평가를 강화해야 한다고 기재부에 건의한 것으로 알려졌다. 지난해 12월 열린 제14차 공공기관운영위원회 회의에서 한 공운위원은 2025년도 공공기관 경영평가편람과 관련해 "해킹 등 정보보안 관리 강화, 디지털플랫폼정부 관련 지표 반영 등은 시의적절한 개선"이라고 언급했다.
관련 평가 배점이 0.5점인 점을 고려하면 0점을 맞아도 큰타격이 없는 것처럼 보일 수 있지만 경영평가 특성을 감안하면 0.5점은 큰 변수가 될 수 있다. 공공기관 경영평가에선 1점 이내 점수 차이로 기관등급이 바뀔 수 있기 때문이다.
기재부가 공공기관 정보보안 강화 방안 중 하나로 경영평가 카드를 꺼내든 건 그만큼 공공기관들이 경영평가 결과에 민감하게 반응하기 때문이다. 각 공공기관은 경영평가 등급에 따라 임직원 성과급이 달라지기 때문에 경영평가를 중요시 할 수밖에 없기 때문이다. 정보보안 노력이 미흡했단 이유로 성과급 액수가 달라질 수 있단 의미다. 경영평가 시즌이 되면 평가 결과를 알아내기 위한 정보전이 펼쳐지는 이유다.
경영평가 등급은 기관장 거취에도 영향을 준다. 실제 김영중 전 고용정보원장은 취임 두 달여 만인 2023년 6~7월 발생한 고용정보원의 '워크넷'(고용부 고용정보시스템) 해킹 사고 영향으로 지난해 해임됐다. 기재부가 지난해 발표한 공공기관 경영평가 결과에서 고용정보원이 워크넷 해킹 사고 등에 따라 '아주미흡(E)' 등급을 받았기 때문이다.
한 공공기관 관계자는 "경영평가 결과는 조직 사기에 큰 영향을 주기 때문에 그해 기관 목표에 늘 1순위에 자리한다"며 "직원들 역시 경영평가에서 낙제점을 받으면 단순히 성과급 문제뿐 아니라 사업개선 등에 몇년은 고생할 수 있어 경영평가 결과에 목을 맬 수밖에 없다"고 말했다.
한편 기재부는 공공기관의 사회 형평적 인력 활용을 위한 평가 기준도 일부 바꿨다. 기재부는 지금까지 △일자리 창출과 공정채용 추진 전략 △민간 일자리 창출 기여 성과 △고졸자, 지역인재 등 사회형평적 인력 채용을 위한 노력과 성과 △여성 인력 활용 등 4개 항목에 대해 비계량으로 공기업 3점, 준정부기관 1점을 부여했다.
하지만 앞으로 해당 분야 배점 중 고졸자, 지역인재 등 사회형평적 인력 채용을 위한 노력과 성과 항목에 의무적으로 공기업 1점, 준정부기관 0.3점을 매긴다. 사회형평적 인력 채용 성과가 나빠도 다른 항목 점수로 전체 점수를 끌어올리는 것을 막기 위해서다.
이밖에 비계량 1.5점이 부여된 '창업 및 경제활성화' 항목의 평가 기준에 '외국 정부, 국제기구, 민간 등이 발주하는 해외 사업을 공공기관과 민간 기업이 동반수주는 경우'도 추가했다. 해외투자개발사업 등이 있을 경우 명시적으로 이를 평가 기준에 반영하겠다는 의도다.