송경희 개인정보보호위원장이 28서울 종로구 정부서울청사에서 열린 제2회 위원회 전체회의에서 국기에 경례하고 있다. 2026.1.28 [사진=연합뉴스]

감사원은 27일 2021~2024년 공공부문의 개인정보 유출 실태를 점검한 결과를 발표했다. 

해당 기간 유출된 개인정보는 약 3900만 건에 달했지만, 책임자에 대한 징계 요구 없이 주의·통보 등으로 조치가 마무리됐다.

감사원이 공개한 ‘개인정보 보호 및 관리실태’ 감사보고서에 따르면, 이 기간 발생한 개인정보 유출 사고의 90% 이상은 해킹에 의한 것으로 집계됐다. 

감사원은 대량의 개인정보를 처리하는 주요 공공시스템을 대상으로 모의해킹을 실시한 결과, 점검 대상 시스템 전반에서 외부 침입을 통한 개인정보 탈취 가능성이 확인됐다고 밝혔다.

그럼에도 이번 감사 결과에는 공공기관 책임자에 대한 징계 요구나 문책 조치는 포함되지 않았다. 감사원은 주의·통보 등 행정적 조치를 내리는 데 그쳤다. 

개인정보 유출의 대부분이 외부 해킹에 의해 발생했고, 특정 개인의 고의나 중과실을 특정하기 어렵다는 점이 그 이유로 제시됐다.

개인정보보호위원회의 조치 역시 공공부문에 관대한 구조를 드러냈다. 개인정보위는 2022년 수원시청의 개인정보보호법 위반을 인정하면서도 과태료 360만 원과 시정 조치에 그쳤다. 

공무원의 고의 유출 사건이었음에도 기관 책임은 제한적으로만 물은 셈이다.

반면 민간기업에 대한 개인정보 유출 제재 수위는 최근 들어 뚜렷하게 강화되는 추세다.

2025년 발생한 SK텔레콤의 대규모 개인정보 유출 사건에 대해 개인정보보호위원회는 1000억 원을 웃도는 과징금을 부과했다. 

카카오는 개인정보 관리 부실을 이유로 150억 원대 과징금을 부과받았다. 

최근 불거진 쿠팡의 대규모 개인정보 유출 사건과 관련해서는, 현행법상 매출액 기준을 적용할 경우 최대 수천억 원대, 경우에 따라 1조 원대 과징금 가능성까지 거론되고 있다.

개인정보보호위원회는 개인정보보호법에 따라 공공과 민간을 아우르는 개인정보 보호의 최종 감독기관으로, 조사·시정명령·과징금 및 과태료 부과 등 제재 권한을 동시에 보유하고 있다. 

제도상으로는 유출 주체가 공공기관이든 민간기업이든 동일한 기준으로 책임을 판단하고 집행하도록 설계된 기구다. 

그러나 실제 집행 과정에서는 공공과 민간에 적용되는 제재의 방식과 강도가 달라 보인다는 지적이 반복되고 있다. 

‘법이 아닌 집행 단계에서 책임의 무게가 갈리는 구조가 고착되고 있다’는 비판이 나오는 이유다.

이처럼 감사원이 점검한 공공부문의 과거 개인정보 유출은 제도 개선 권고와 행정적 조치로 정리된 반면, 이후 발생한 민간기업의 유출에 대해서는 강도 높은 금전적 제재가 적용되거나 논의되고 있다. 

같은 개인정보보호법 체계가 적용되고 있음에도, 결과적으로 책임을 묻는 방식과 강도는 공공과 민간에서 크게 달라 보인다.

감사원 감사 결과와 민간기업 제재 사례를 나란히 놓고 보면, 개인정보 보호의 기준이 강화되는 흐름 속에서도 공공부문은 여전히 과거의 책임 틀에 머물러 있다는 인상을 지우기 어렵다.

같은 개인정보보호법 체계가 적용되고 있음에도, 공공과 민간에 대한 제재 기준을 일관되게 관철할 수 있는 집행 구조는 확인되지 않는다. 

문제는 차별적 설계가 아니라, 개인정보 유출의 주체가 누구든 책임을 끝까지 묻는 구조 자체가 부재하다는 점이다. 

개인정보 보호가 선언에 그치지 않고 실질적인 책임으로 이어지기 위해서는, 공공과 민간을 가리지 않는 동일한 책임 원칙과 이를 집행할 명확한 구조가 요구되고 있다.