주요 정보기술 수탁업체의 10곳 중 9곳이 개인정보를 다루면서 법령을 위반한 것으로 나타났다.
행정자치부는 관계부처 합동으로 IT수탁사 대상 일제점검 결과 이들이 공급하는 개인정보처리시스템의 개인정보 보호수준이 매우 미흡한 수준이었다고 11일 밝혔다.
행정자치부에 따르면 지난 4월부터 5월까지 국내 6천여 IT수탁사를 대상으로 민간 자율점검과 현장점검을 실시했다.
이중 주요 80개 IT 수탁사를 대상으로 현장점검을 실시한 결과 75개 업체(93.7%)가 개발 및 운영하는 개인정보처리시스템에서 법 위반사항 403건이 적발됐으며 이들 업체에 개인정보를 위탁처리하는 사업자는 45만여개에 달하는 것으로 조사됐다.
분야별 현장점검 결과를 살펴보면 18곳의 공공․교육분야에서는 17곳이 법을 위반했으며 법위반 건수는 90건이었다.
의료․금융분야는 22곳을 점검한 결과 19곳이 71건의 법을 위반한 것으로 나타났다.
생활․문화분야는 19곳 중 18곳이 129건의 법 위반을, 통신․산업분야는 21곳 중 21곳 모두에서 113건의 법 위반 건수가 적발됐다.
법 위반 내용으로는 개인정보보호 안전성 확보 조치 미흡이 60.3%나 됐으며 이중 △취급자 접속기록 6개월 이상 미보관 등 관리 미흡 △접근권한 부여․변경․말소 내역 관리 미흡(3년 이상 미보관) △안전한 미빌번호 작성규칙 미적용 등이 주를 이뤘다.
그 다음으로는 위․수탁 계약시 필수항목 포함된 비문서화 및 수탁사 미공개 위반율이 12.9%, 보유기간 만료된 개인정보 등 미파기 및 판매권유 등 미구분 동의 위반 7.9% 순으로 뒤를 이었다.
행자부는 45만 개 사업체가 사용하는 개인정보처리시스템에서 위법사항이 적발된 만큼 이를 공급한 75개 IT업체가 위법사항을 연차적으로 개선토록 개선계획서를 제출받았으며 연차적으로 샘플 온라인 및 현장점검을 실시해 개선계획 이행여부를 확인할 계획이다.
또 추후 재차 적발될 경우 수탁사와 그 위탁사에 대해 엄중 행정처분한다는 방침이다.
이번 자율점검에 미참여한 716개 IT수탁사에 대해서는 연차적으로 전수조사를 실시하고 위법사항을 적발 처분할 예정이다.
정재근 행정자치부 차관은 “이번 일제점검으로 45만여 위탁 사업자의 개인정보처리시스템의 개선이 기대된다”며 “향후 IT수탁사 관리감독에 대한 제도정비는 물론 시스템에 대한 위법 단속을 지속적으로 강화해 나갈 것”이라고 밝혔다.
한편 민간 자율점검은 매출액이 30억원 이상인 2,026개 업체를 집중관리 대상으로 선정해 행자부에서 제시한 점검 목록을 기반으로 자체점검 결과를 접수․분석했다.
그 결과 1,310개 업체(64.6%)가 자율점검에 참여해 이중 743개 업체가 개인정보처리시스템 개발 및 운영을 위탁받아 처리하는 것으로 나타났으며 이번 자율점검을 통해 위법사항을 즉시 개선했거나 개선이 진행 중인 것으로 파악됐다.
이같은 자율점검을 토대로 행자부는 5월 한달 간 복지부, 미래부, 금융위 등 관계부처와 전문기관(한국인터넷진흥원, 보험심사평가원 등)과 함께 합동점검반을 구성, 민간 자율점검 참여업체와 미참여업체 중 주요 80개 IT 수탁사를 대상으로 현장점검을 실시한 것이다.
기사등록 김대영 기자
