지난 4년여간 유출된 개인정보 건수가 8천만건에 육박하고 있는 가운데, 개인정보보호위원회는 개인정보 유출 대비 손해배상책임보험에 가입해야 할 의무대상 기관조차 확정하지 못하고 있는 것으로 확인됐다.
국회 정무위원회 강민국 의원실(국민의힘)에서 개인정보보호위원회에 자료요구를 통해 받은 답변자료인 '개인정보 유출 기관 및 유출 규모 현황'을 살펴보면, 개인정보보호위원회가 중앙행정기관으로 출범한 2020년 8월 다음 해인 2021년~2024년 9월까지 개인정보가 유출된 기관은 377개인 것으로 조사됐다.
유출기관을 민간과 공공기관으로 분류해 살펴보면, 민간은 311개(82.5%)이며, 공공기관은 66개(17.5%)로 유출기관 10개 중 8개는 민간기관이었다.
연도별로 살펴보면, 2021년 60개, 2022년 84개, 2023년 153개로 유출기관의 수가 급증하고 있다. 올해는 9월까지 80개 기관에서 개인정보가 유출됐다.
또한 동일기간 이들 기관에서 유출된 개인정보의 수는 무려 7735만5098건이나 되었다.(※ 공공기관 634만 3896건(8.2%)/민간 7101만 1202건(91.8%))
연도별로 살펴보면, 2021년 4724만8899건, 2022년 1038만4064건, 2023년 1463만8282건, 2024년 9월 508만9922건이었다.
여기서 주목할 부분은 공공기관에서의 개인정보 유출이 급증하고 있다는 것이다. 2021년 0건에서 2022년 1만6753건, 2023년 469만2414건으로 급증했고 올해도 9월까지 163만4729건의 개인정보가 공공기관에서 유출됐다.
이러다 보니 이들 기관에 대한 개인정보 유출 관련 과징금 규모 역시 상당한 수준이다. 2021년~2024년 9월까지 개인정보유출 관련 과징금은 총 254억 971만3000원으로 이 중 공공기관 8억5775만원(3.4%), 민간기관 245억 5196만3000원(96.6%)이었다.
연도별로는 2021년 15억2548만6000원, 2022년 15억2548만6000원, 2023년 148억1984만1000원, 2024년 9월 250억3496만4000원으로 최근 급증하고 있다.
이러한 개인정보 유출로 인한 손해배상책임 이행 시, 자금 조달이 어려운 사업체를 위해 위원회는 지난 2020년부터 '개인정보 보호법' 제39조(손해배상책임)와 제39조의2(법정손해배상의 청구)에 따른 개인정보 손해배상 책임보험 가입을 의무화하고 있다.
그러나 손해배상책임보험 계약 건수는 지난 2020년 9195건(152억9700만원)에서 2024년 8월말 현재 8651건(169억600만원)으로 계약 건이 줄어들었다.
이는 결국 위원회의 손해배상 책임보장제도 추진에 대한 의지 부족에 따른 것이다.
왜냐하면, 개인정보 손해배상 책임보험이 시작한 지, 5년째인데도 아직 손해배상책임 보장제도 의무이행 대상 기관조차 파악하지 않고 있으며, 그러다 보니 미이행 시 처벌 규정조차 마련되어 있지 않기 때문이다.
또한 개인정보보호위원회는 지난 4년간 개인정보 손해배상 책임보험이 지급된 건수가 고작 9건에 불과(동일기간 유출건 대비 0.00001%)함에도 아직까지 보험 신청 규모도 파악하지 않고 있다.
강민국 의원은 “개인정보보호위원회 출범 5년째 유출된 개인정보가 8천만건을 육박하고 있음에도 손해배상 책임보장제도 의무이행 대상조차 파악 못 하고 있는 것은 개인정보위원회의 책임이 크다”고 지적했다.
이에 강 의원은 “손해배상 책임보장제도 실효성 확보를 위한 정책연구 조속한 완료 및 미이행 시 처벌 규정 마련과 연 최대 150만원에 달하는 개인정보 손해배상 책임보험료가 부담스러운 소상공인 등 영세업자에 대한 지원방안도 검토해야 할 것이다”고 강조했다.
