지난 2020년 개인정보보호위원회(개인정보위) 출범부터 최근까지 3년간 공공기관에서의 개인정보 유출로 400만 건에 달하는 신고가 있었지만 개인정보위가 징계 요구를 한 사례는 단 한 건밖에 없던 것으로 드러났다. 시민 정보를 흥신소에 돈 주고 팔아 결국 살인이 나게 한 공무원에 대한 징계가 전부다. 그밖에 390만 건이 넘는 유출이 모두 외면받았다.

15일 국민의힘 윤창현 의원이 개인정보위로부터 받은 '공공부문 기관의 개인정보 유출 현황' 자료에 따르면 개인정보위가 출범한 2020년 8월부터 올해 7월까지 중앙행정기관과 지방자치단체, 지방공기업, 각급학교 등 공공기관에서 신고한 개인정보 유출 건수는 395만1147건이었다.

올해 개인정보 유출은 296만9634건으로 상반기만 300만 건에 육박했다. 2020년 유출 건수는 4만여 건이었는데 3년 만에 74배 폭증했다.

개인정보 유출 규모가 커지고 사회 문제로까지 번지고 있지만 개인정보위는 손을 놓고 있다. 개인정보위 출범부터 최근까지 3년 동안 수백만 건의 개인정보 유출이 있었지만 유출 기관 책임자의 징계 처분을 요구한 사례는 2022년 1건에 그쳤다.

의원실 자료에 따르면 담당자 과실로 인한 유출은 적어도 연간 수천 건씩 터졌다. △2020년 2640건 △2021년 7만9718건 △2022년 3만3161건 △2023년 3149건 등 총 11만8668건으로 조사됐다. 담당자가 고의로 유출한 개인정보도 1100건이 넘었다.

개인정보위가 징계 처분한 유일한 1건은 ‘이석준 사건’의 빌미를 제공한 건이었다. 당시 개인정보위는 민간인의 개인정보를 흥신소에 팔아 4000만원을 챙긴 경기도 수원 권선구청 공무원 등에 대해 징계 처분을 요구했다.

이석준은 2021년 경찰의 신변 보호를 받던 여성의 집을 찾아가 어머니를 살해하고 남동생에게 중상을 입힌 혐의로 무기징역이 확정됐다. 이석준은 이 흥신소를 통해 피해자의 주소를 알아낸 것으로 조사됐다.

개인정보위는 올 초 발생한 경기도교육청의 개인정보 유출 사건 역시 책임자에 대한 징계를 권고하지 않았다. 이 사건으로 27만여명의 시험 성적이 유출됐고 경기도교육청을 포함해 5개 기관에서 개인정보 296만9634건이 유출됐다.

다만 개인정보위는 경기도교육청에 과태료 2160만원을 부과했다. 사건 책임자에 대한 징계는 권고하지 않았다. 이에 윤 의원은 “국민 세금인 기관 운영비로 과태료를 납부하게 되는 셈”이라고 지적했다.

윤 의원은 "국민의 동의 없이도 광범위하게 개인정보 수집을 하는 만큼 유출된 정보 규모와 기관을 공표해야 한다"며 "재발 방지 의무화와 함께 책임자에 대한 엄중한 문책도 검토해야 할 것"이라고 밝혔다.

이와 관련해 개인정보위 관계자는 "유출 건수가 크긴 하지만 담당자의 과실이 징계 권고 수준에 부합하지 않는다고 판단했다"며 "개인정보를 고의로 유출했거나, 중대한 사항을 위반했을 때 징계 고려 대상에 오른다. 내부적으로도 징계 절차를 밟고 있는 것으로 안다"고 해명했다.

그러면서 "(지난 3년간 개인정보) 유출에 대한 징계 권고는 1건이지만, 각종 점검을 통해 개인정보 보호조치 미흡 등을 확인해 내린 징계 권고는 13건에 이른다"며 "징계를 내리는 것은 기관장 고유 권한이기에 개인정보위가 강제할 권한이 없다"고 설명했다.