공공기관의 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건

결정문 요약

주문

1. 피심인에 대하여 다음과 같이 과징금과 과태료를 부과한다. 가. 과 징 금 : 532,000,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점 2. 피심인에 대하여 다음과 같이 징계를 권고한다. 가. 피심인은 본 건 개인정보 유출 및 안전조치의무 위반에 책임이 있는 자(대표자 및 책임있는 임원 포함)를 징계할 것. 나. 피심인은 가.의 징계 조치를 이행하고, 징계권고 통보를 받은 날로부터 60일 이내에 그 결과를 개인정보보호위원회에 통보할 것. 다만, 권고 내용대로 조치하기 곤란하다고 판단되는 특별한 사정이 있는 경우에는 그 사유를 반드시 포함하여 통보할 것. 3. 피심인의 법 위반행위 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다. 4. 피심인에 대하여 처분 등을 받은 사실을 다음과 같이 공표할 것을 명한다. 가. 피심인은 처분 등에 대한 통지를 받은 날부터 1개월 이내에 당해 처분 등을 받은 사실을 피심인의 홈페이지(모바일 어플리케이션 포함)의 초기화면 팝업창에 전체화면의 6분의1 크기로 2일 이상 5일 미만의 기간 동안(휴업일 포함) 게시할 것. 나. 피심인은 원칙적으로 표준 공표 문안을 따르되, 공표 문안에 관하여 개인정보보호위원회와 미리 문서로 협의해야 하며, 팝업창 설정방식 및 글자크기ㆍ모양ㆍ색상 등에 대해서는 해당 홈페이지 특성을 고려하여 개인정보보호위원회와 협의하여 정할 것.

이유

Ⅰ. 기초 사실 피심인은 「개인정보 보호법」(이하 '보호법’이라 한다) 제2조제6호에 따른 공공기관으로, 같은 법 제2조제2호에 따른 개인정보처리자이며 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=163689541" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 피심인이 권한 없는 자의 연금업무지원시스템 접근 및 개인정보 유출 정황을 인지하고 유출 신고( )함에 따라 조사를 실시하였으며, 조사 결과 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집ㆍ이용 현황 피심인은 공무원 연금 가입자 관리, 연금액 산출, 퇴직급여 심사 등을 위해 원시스템(현 시스템)을 운영하면서 ’24. 1. 22. 기준으로 아래와 같이 개인정보를 수집ㆍ보유하고 있다. <img src="/LSW/flDownload.do?flSeq=163689543" alt="2번째 이미지"></img> 나. 개인정보 유출 관련 사실관계 1) 유출 경위 정○○는 (’21.1월~2월) 및 (’22.9월)에서 기간제 로 근무하였던 자로서, ’22. 4. 4.부터 ’23. 2. 6.까지 , , , 등 4개 기관 명의로 총 5차례에 걸쳐 연금담당자 등록(변경) 신청서를 위조하여 피심인으로부터 연금담당자 권한을 부여 받았다. 정○○는 피심인으로부터 부여 받은 권한을 이용하여 ’22. 4. 5.부터 ’23. 10. 23.까지 시스템에 62회 접속하여 및 소속 공무원의 개인정보에 접근하였다(조회 8회, 수정 4회, 다운로드 6회). 기관별 연금담당자 등록 신청 및 승인 내역은 아래 표와 같다. <img src="/LSW/flDownload.do?flSeq=163689545" alt="3번째 이미지"></img> 피심인은 정○○가 제출한 신청서에 신청자 서명 및 기관장 직인이 누락, 위조 직인 날인 등 의심 정황이 있었음에도 진위를 제대로 검증하지 않은 채 5차례 모두 정○○에게 기관 연금담당자 권한을 부여하였다. 2) 유출 규모 및 항목 정당한 권한이 없는 정○○의 시스템 접근으로 공무원 1,036명의 성명, 소속, 기여금 납부내역 등의 개인정보*가 유출되었다. * 1,015명의 주민등록번호 포함 3) 유출인지 및 대응 <img src="/LSW/flDownload.do?flSeq=163689547" alt="4번째 이미지"></img>

3. 개인정보의 취급ㆍ운영 관련 사실관계 피심인의 기관 연금담당자 승인 업무는 심사자가 신청 내역을 확인한 후 직접 승인하도록 결재 권한이 위임되어 있었고, 심사자들은 정○○가 제출한 신청서에 신청인 서명 및 기관장 직인이 누락되어 있거나 위조 직인이 날인되어 있었음에도 신청서의 진위를 제대로 확인하지 않고 5차례나 접근권한을 부여한 사실이 있다. 특히, 피심인의 ’22. 8. 26.자 연금담당자 변경 승인 시 실제 연금담당자가 피심인에게 권한 변경에 대한 이의를 제기하였음에도 피심인은 당시 정○○가 해당 기관에 기간제 영양사로 재직 중이었다는 이유로 단순 업무 실수로 치부하여 정○○의 연금담당자 권한을 말소하는 조치만 하였으며, 이후 정○○가 연금담당자 권한을 신청하였을 때에도 별다른 검증 없이 이를 승인하여 권한 없는 자에게 257일 간 기관 연금담당자 권한이 부여되었다. 또한, 피심인은 전보, 업무 변경 등으로 기관의 연금담당자가 변경된 경우 종전 담당자의 시스템 접근 권한을 말소하지 않고, 장기 미접속자의 접근 권한을 확인 없이 그대로 방치한 사실이 있다. 나아가 피심인은 ’23.11월 이전까지 연금업무지원시스템의 징수ㆍ급여ㆍ융자ㆍ주택 메뉴의 접속기록 항목 중 '수행업무’를 보관ㆍ관리하지 않았으며, 피심인 소속 직원 외 연금취급기관별 담당자의 접속기록은 점검하지 않은 사실이 있다. 4. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 ’24. 3. 26., ’24. 6. 20., ’25. 1. 24. 및 ’25. 7. 2. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 ’24. 4. 9., ’25. 2. 12. 및 ’25. 7. 10. 개인정보보호위원회에 의견을 제출하였다. Ⅲ. 위법성 판단 1. 관련 법 규정

보호법은 개인정보처리자의 안전조치의무에 관하여 제29조에서 “개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다”라고 규정하고 있으며, 특히 고유식별정보에 관하여는 같은 법 제24조제3항에서 “개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다”라고 규정하고 있다. 이에 따라 보호법 시행령 제30조제1항은 개인정보처리자는 '개인정보에 대한 접근을 통제하기 위한 조치(제3호)’를 하여야 한다고 규정하면서, 같은 영 제21조에서 “법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다”라고 규정하고 있다. 한편, 위 법령에 따른 안전성 확보 조치에 관한 세부 기준을 정한 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호, 이하 '고시’) 제5조1항은 “개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행을 위해 필요한 최소한의 범위로 차등 부여하여야 한다”라고 규정하고 있으며, 같은 조 제2항은 “개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다”라고 규정하고 있다. 또한, 고시 제8조제1항은 “개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다.”라고 규정하면서 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 접속기록을 2년 이상 보관하여야 한다고 규정하고 있으며, 이 때 접속기록이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다(고시 제2조제3호). 나아가 고시 제8조제2항은 “개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다”라고 규정하고 있다. 2. 위법성 판단

가. 개인정보의 안전성 확보 조치를 소홀히 한 행위 [보호법 제24조제3항, 제29조(안전조치의무)] 피심인이 ’22. 4. 5.부터 ’23. 10. 23.까지 연금담당자 등록(변경) 신청서의 진위 검증을 소홀히 하여 권한 없는 자에게 5차례에 걸쳐 접근 권한을 부여한 행위는 보호법 제24조제3항 및 제29조, 같은 법 시행령 제21조제1항 및 제30조제1항제2호, 고시 제5조제1항 위반에 해당하고, 소속 직원의 전보ㆍ업무 변경 등으로 연금담당자 권한을 상실한 자의 시스템 접근 권한을 지체 없이 말소하지 않은 행위는 보호법 제24조제3항 및 제29조, 같은 법 시행령 제21조제1항 및 제30조제1항제2호, 고시 제5조제2항 위반에 해당한다. 피심인이 ’23. 11. 17. 이전까지 시스템의 접속기록을 보관ㆍ관리하면서 필수 항목인 '수행 업무’의 보관을 누락한 행위는 보호법 제24조제3항 및 제29조, 같은 법 시행령 제21조제1항 및 제30조제1항제5호, 고시 제8조제1항 위반에 해당하고, 피심인 소속 직원 외 연금취급기관별 담당자들의 시스템 접속기록을 점검하지 않은 행위는 제24조제3항 및 제29조, 같은 법 시행령 제21조제1항 및 제30조제1항제5호, 고시 제8조제2항 위반에 해당한다. Ⅳ. 처분 및 결정 1. 과징금 부과 피심인의 보호법 제24조(고유식별정보의 처리 제한)제3항 및 제29조(안전조치의무) 위반행위에 대하여 같은 법 제64조의2제1항제9호, 시행령 제60조의2제6항 [별표 1의5] 및 「개인정보 보호법 위반에 대한 과징금 부과기준」(개인정보보호위원회 고시 제2023-3호, ’23. 9. 15. 시행, 이하 '과징금 부과기준’)에 따라 다음과 같이 과징금을 부과한다. 가. 과징금 상한액 피심인은 보호법 제2조제6호나목 및 시행령 제2조제2호에 따른 공공기관(기금관리형 준정부기관)으로서 본 건 유출과 관련된 위반행위는 수익사업과 무관한 공무원연금 업무 영역에서 발생하였으므로 매출액이 없거나 매출액의 산정이 곤란한 경우에 해당하는바, 보호법 제64조의2제1항 단서 및 같은 법 시행령 제60조의2제2항제1호다목에 따라 20억 원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 나. 기준금액 1) 중대성의 판단

보호법 시행령 제60조의2제6항 [별표 1의5] 제2호가목에 따라 과징금 산정 시 기준금액은 위반행위의 내용 및 정도, 암호화 등 안전성 확보 조치 이행 노력, 유출 규모 및 위반행위와의 관련성 등을 종합적으로 고려하여 판단한 위반행위의 중대성에 따라 산정된다. 과징금 부과기준 제8조제1항은 보호법 시행령 [별표 1의5] 제2호가목 1) 및 2)에 따른 위반행위의 중대성의 정도는 [별표] 위반행위의 중대성 판단기준에 따른다고 규정하고 있다. 위 [별표]에 따르면 위반행위의 중대성의 정도는 ① 고의ㆍ과실, ② 위반행위의 방법, ③ 위반행위자가 처리하는 개인정보의 유형 및 ④ 위반행위로 인한 정보주체의 피해 규모 및 정보주체에게 미치는 영향 등 총 네 가지 고려사항별 부과기준을 종합적으로 고려하여 판단하되, 고려사항별 부과수준 중 두 가지 이상에 해당하는 경우에는 높은 부과 수준을 적용하여야 한다. 고려사항별로 보면, ① 고의ㆍ과실은 위반행위의 목적, 동기, 당해 행위에 이른 경위, 영리 목적의 유무 등을 종합적으로 고려하여 판단하여야 하고, ② 위반행위의 방법은 안전성 확보 조치 이행 노력 여부, 개인정보 보호책임자 등 개인정보 보호 조직, 위반행위가 내부에서 조직적으로 이루어졌는지 여부, 사업주ㆍ대표자 또는 임원의 책임ㆍ관여 여부 등을 종합적으로 고려하여 판단하되, 개인정보가 유출된 경우에는 유출과 안전성 확보조치 위반행위와의 관련성을 포함하여 판단하여야 하며, ③ 개인정보의 유형은 민감정보 또는 고유식별정보인지, 인증정보인지 여부에 따라 판단하고, ④ 정보주체의 피해 규모 및 정보주체에게 미치는 영향은 피해 개인정보의 규모, 위반기간, 정보주체의 권리ㆍ이익이나 사생활 등에 미치는 영향 등을 종합적으로 고려하여 판단하되, 개인정보가 유출된 경우에는 유출 규모 및 공중에 노출되었는지 여부를 포함하여 판단하여야 한다.

본 유출 사건은 피심인이 기관 연금담당자 권한 부여 과정에서 확인을 소홀히 한 데 기인한 것으로서, 피심인에게 위반의 고의가 있다고 보이지는 않으나 1년 6개월 여 간 5차례나 동일인이 같은 수법의 위조 문서를 작성하여 권한을 신청하였음에도 이를 식별하지 못할 정도로 승인 절차를 형식적으로 운영하였다는 점에서 업무상 중대한 과실이 있다고 봄이 타당하며, 위반행위의 부당성도 상당하다. 더욱이 이로 인해 특정 정부부처 공무원 대부분의 성명, 소득, 소속기관 및 주민등록번호를 포함한 개인정보가 유출되어 피싱 등 2차 피해도 우려된다. 따라서 위반행위의 중대성을 '매우 중대한 위반행위’로 판단한다. 2) 기준금액 산출 보호법 시행령 [별표 1의5] 제2호가목 2)에 따라 과징금 산정 시 기준금액은 위반행위의 중대성에 따라 산정하는바, '매우 중대한 위반행위’의 기준금액은 7억 원 이상 18억 원 미만이며, 피심인의 경우 유출 정황을 인지한 후 유출 원인을 파악하고 개선 조치를 이행하였고, 해당 개인정보가 정○○ 외 공중에 유출된 정황은 확인되지 않는 점, 그 밖에 개인정보 보호책임자를 지정하였으며 내부의 조직적 위반 정황은 없는 점 등을 참작하여 그 기준금액을 700,000천 원으로 한다. <img src="/LSW/flDownload.do?flSeq=163689549" alt="5번째 이미지"></img> 다. 1차 조정 피심인은 ’22. 4. 5.부터 ’23. 10. 23.까지 권한 없는 자에게 5차례에 걸쳐 시스템 접근 권한을 부여하여 위반행위의 기간이 1년을 초과하므로 과징금 부과기준 제9조제1항제1호가목에 따라 기준금액의 100분의 25에 해당하는 175,000천 원을 가산한다. 아울러 피심인은 이 사건 위반행위로 인하여 경제적 또는 비경제적 이득을 취한 사실이 없으므로 같은 조 제2항제1호에 따라 기준금액의 100분의 30에 해당하는 210,000천 원을 감경한다. 라. 2차 조정

과징금 부과기준 제10조에 따라 피심인이 사전통지 및 의견제출 기한이 종료되기 이전에 위반행위를 중지하는 등 시정을 완료한 점, 조사기간 중에 일관되게 행위사실을 인정하면서 위법성 판단에 도움이 되는 자료를 제출하거나 진술하는 등 조사에 협력한 점, 개인정보 보호를 위해 보호위원회가 인정하는 인증(ISMS-P)을 획득(’21.10.)한 점은 인정되나, 이후 부적정한 신청자에 대해 적정한 검증절차 없이 접근권한을 5차례나 부여한 것이 유출의 직접적 원인인 점, 피심인은 접근권한 관리 업무를 각 연금취급기관에 이양하였으나, 각 기관에게 실무자 단독 또는 상위직급자 검토를 거쳐 접근권한을 관리하여야 하는지 등은 추가로 안내하지 않아 시정이 미흡하다고 볼 여지가 있는 점 등을 종합 고려하여 1차 조정을 거친 금액의 100분의 20에 해당하는 133,000천 원을 감경한다. 마. 과징금의 결정 피심인의 보호법 제24조제3항 및 제29조 위반에 대한 과징금은 같은 법 제64조의2제1항제9호, 같은 법 시행령 제60조의2 [별표 1의5] 및 과징금 부과기준에 따라 위와 같이 1차 조정 및 2차 조정을 거쳐 산출한 금액인 532,000천 원을 최종 과징금으로 결정한다. <img src="/LSW/flDownload.do?flSeq=163689551" alt="6번째 이미지"></img> 2. 징계권고 개인정보보호위원회는 보호법 제65조제2항에 따라 개인정보 보호와 관련된 법규의 위반행위가 있는 경우 대표자 및 책임있는 임원을 포함하여 그 위반행위에 책임이 있는 자를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다.

피심인은 공무원연금제도 운영을 위해 당사자의 동의 여부와 관계 없이 공무원의 민감정보 및 고유식별정보를 포함한 개인정보를 광범위하게 처리하는 개인정보처리자의 지위에 있어 개인정보가 유출되지 않도록 더욱 철저히 안정성 확보에 필요한 조치를 하여야 함에도, 기관 연금담당자 권한 부여ㆍ승인 절차를 형식적으로 운영하여 1년 6개월 이상 기관 소속 직원이 아닌 자에게 연금담당자 권한을 반복적으로 부여하였고, 그 밖에 전보 또는 부서 내 업무 변경으로 연금 업무 권한을 상실한 자의 시스템 접근 권한을 말소하지 않고, 장기 미접속자의 권한을 적절히 확인하지 않는 등 접근 권한 관리를 소홀히 하였으며, 피심인 소속 직원 외 연금취급기관별 담당자들의 접속기록을 점검하지 않는 등 안전조치의무를 제대로 이행하지 않았다. 이에 보호법 제65조제2항 및 「개인정보 보호 법규 위반에 대한 징계권고 기준」(개인정보보호위원회 지침, 2023. 10. 11. 시행, 이하 '징계권고지침’) 제3조제1항제4호(위반행위의 대상이 된 개인정보가 고유식별정보로서 정보주체의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 경우) 및 제8호(그 밖의 개인정보 침해 정도가 매우 중대하다고 인정되는 경우)에 따라 이미 징계를 받은 6명을 제외한 나머지 임직원 중 본 건 유출 및 안전조치의무 위반에 책임이 있는 자를 징계할 것을 권고한다. 3. 공표 개인정보보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과처분 등을 한 경우 그 처분 내용 및 결과에 대하여 공표할 수 있다(보호법 제66조제1항). 피심인은 보호법 제2조제5호가목에 따른 공공기관으로서 「개인정보 보호법 위반에 대한 공표 및 공표명령 지침」(개인정보보호위원회 지침, 2025. 7. 1. 시행, 이하 '공표지침’) 제3조제1항제3호에 해당하므로 피심인에 대한 처분 내용 및 결과를 개인정보 보호위원회의 홈페이지(www.pipc.go.kr)에 1년 간 다음과 같이 공표한다. <img src="/LSW/flDownload.do?flSeq=163689553" alt="7번째 이미지"></img> 4. 공표명령

개인정보보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과처분 등을 한 경우 처분 등을 받은 자에게 해당 처분 등을 받았다는 사실을 공표할 것을 명할 수 있다(보호법 제66조제2항). 피심인의 보호법 제24조제3항 및 제29조 위반행위는 공표지침 제6조제1항제11호(보호위원회의 처분 등을 받은 자가 법 제2조제6호에 따른 공공기관으로서 영 제30조의2에 따른 공공시스템 운영기관인 경우)에 해당하며, 위반행위가 인터넷을 통하여 이루어졌으므로 보호법 제66조제2항, 공표지침 제8조 및 제11조에 따라 피심인에게 처분 등에 대한 통지를 받은 날부터 30일 이내에 당해 처분을 받은 사실을 피심인의 홈페이지(모바일 어플리케이션 포함)에 10일 이상 12일 이하의 기간 동안 게시하는 방법으로 공표할 것을 명한다. 이때, 구체적인 공표내용과 방법 등은 개인정보보호위원회와 미리 문서로 협의를 거쳐야 한다. Ⅴ. 결론 피심인의 보호법 제24조제3항 및 제29조(안전조치의무) 위반행위에 대하여 같은 법 제64조의2(과징금의 부과) 제1항제9호, 제65조(고발 및 징계권고)제2항, 제66조(결과의 공표)제1항ㆍ2항에 따라 과징금 부과, 징계권고, 공표, 공표명령를 주문과 같이 의결한다.

결정요지

안건번호 : 제2025-026-305호 안건명 : 공공기관의 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : 공무원연금공단 (사업자등록번호 : ) 의결연월일 : 2026. 3. 25.