최근 국세청을 둘러싸고 두 가지 사건이 연이어 발생했다. 하나는 국세청이 압류한 가상자산이 해킹을 통해 탈취된 사건이고, 다른 하나는 국세청이 업무상 보관하고 있던 민감한 개인정보가 외부로 유출된 사건이다.

특히 후자의 경우 병원 진단서, 휴대전화 번호, 주민등록번호 등 고도의 민감정보가 포함된 문서가 외부로 확산된 것으로 알려지면서 공공기관의 정보관리 체계에 대한 우려가 커지고 있다.

이번 사건이 심각한 이유는 단순히 개인정보가 유출되었다는 사실 때문만은 아니다. 문제의 핵심은 국세청 홈택스 시스템을 관리하는 외부 업체 관계자들이 해당 정보를 열람하고 유포할 수 있었다는 점이다.

홈택스는 국민의 납세정보와 소득자료 등 국가가 보유한 가장 민감한 데이터를 관리하는 시스템이다. 만약 이 시스템을 관리하는 민간 업체가 마음만 먹으면 특정 개인의 정보를 조회하거나 외부로 반출할 수 있다면, 이는 단순한 보안 사고가 아니라 국가 데이터 통제 체계 자체의 구조적 취약성을 드러낸 사건이라고 볼 수 있다.

현재 우리나라에는 개인정보보호법, 전자정부법 등 다양한 법률이 존재하지만, 이번 사건은 제도적 장치가 현실에서 제대로 작동하고 있는지 의문을 던진다.

특히 공공기관 정보시스템의 외주 운영 구조에서 외부 인력에게 부여되는 접근권한이 과도하다는 지적은 오래전부터 제기되어 왔다. 시스템 유지보수를 이유로 광범위한 데이터 접근권을 부여하는 관행이 계속된다면, 개인정보 보호는 결국 선언적 규정에 그칠 가능성이 높다.

이제는 공공 데이터 관리 체계를 근본적으로 재설계할 필요가 있다. 우선 외부 유지보수 업체가 실제 개인정보 데이터에 접근하지 않도록 권한 구조를 전면적으로 분리해야 한다. 시스템 운영 권한과 개인정보 접근 권한을 명확히 구분하고, 민감정보 영역은 원칙적으로 공무원 또는 엄격히 통제된 내부 인력만 접근하도록 하는 기술적 장치가 필요하다.

또한 개인정보 열람 자체에 대한 실시간 통제 시스템도 강화되어야 한다. 누가 언제 어떤 정보를 조회했는지 자동으로 기록되고 이상 징후가 발생하면 즉시 감시가 작동하는 구조가 마련되어야 한다. 금융기관의 내부통제 시스템과 같은 수준의 데이터 접근 관리가 공공기관에도 도입될 필요가 있다.

무단 열람 행위에 대한 책임 규정 역시 강화해야 한다. 현재 법체계는 주로 개인정보 '유출' 이후의 책임을 묻는 구조지만, 실제로는 열람 단계에서도 심각한 프라이버시 침해가 발생할 수 있다. 따라서 정당한 업무 목적 없이 개인정보를 조회하는 행위 자체를 보다 엄격하게 규제하는 입법적 보완이 요구된다.

국세청은 국민의 소득과 재산 정보를 가장 광범위하게 보유한 기관이다. 이러한 기관의 정보보호 체계는 단순한 행정 문제가 아니라 국가 신뢰의 문제와 직결된다. 국민이 안심하고 자신의 정보를 국가에 맡길 수 있도록 하기 위해서는 이번 사건을 계기로 공공 데이터 거버넌스를 근본적으로 점검하고 개선하는 노력이 필요하다. 개인정보 보호는 기술의 문제가 아니라 국가가 지켜야 할 기본적 책무라는 점을 다시 한번 되새길 때다.

박정인 교수(법학박사)는 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 인터넷주소분과위원회, 웹콘텐츠 활성화위원회 자문위원, 강동구 공직자윤리위원회 심의위원, 경찰청 사이버범죄 강사 등 여러 국가 위원을 역임했다. 공공기관 대상 법령입안강의를 하며, 대학에서 특허법, 저작권법, 산업보안법, 과학기술법, 정보보안법, 디지털증거법, ICT트러스트공학, 일반 산업안전, 중대재해법 등을 강의한다. 한국인터넷진흥원, 한국콘텐츠진흥원, 인텔리콘 메타연구소, 해인예술법연구소, 숙명여대 초빙교수, 단국대 연구교수 등을 역임했다.