공공기관의 개인정보 보호 업무는 2026년에 더 촘촘하게 평가됩니다.

개인정보보호위원회는 2026년 4월 13일 보도자료에서 2026년 공공기관 개인정보 보호수준 평가 추진계획을 확정했다고 밝혔습니다. 이번 계획의 핵심은 단순한 서류 점검이 아니라, 실제 유출 사고를 줄일 수 있는 사전 예방 체계와 사후 대응 역량을 더 강하게 보겠다는 점입니다.

특히 개인정보 유출 사고가 발생하면 감점 최대치가 기존 10점에서 20점으로 커지고, 사고 이후 대응이 미흡하면 최대 5점이 추가로 감점될 수 있습니다. 공공기관 입장에서는 “사고가 난 뒤 보고하면 된다”가 아니라, 사고가 나기 전에 관리체계를 설명할 수 있어야 합니다.

이번 글에서는 2026년 평가를 앞두고 개인정보 담당자가 먼저 확인해야 할 실무 점검 항목을 정리합니다.

2026년 평가에서 달라지는 핵심

개인정보 보호수준 평가는 「개인정보 보호법」 제11조의2에 근거해 공공기관의 개인정보 보호 정책, 업무 수행, 법적 의무 준수 여부를 매년 평가하는 제도입니다. 개인정보위 안내에 따르면 평가 대상은 중앙행정기관, 지방자치단체, 산하 공공기관, 지방공기업, 시도교육청 및 교육지원청 등입니다.

2026년 계획에서 실무자가 특히 봐야 할 변화는 세 가지입니다.

• 첫째, 유출 사고 감점이 커졌습니다. 유출 사고 발생 시 감점 최대치가 20점으로 상향되었습니다.
• 둘째, 사고 후 대응도 별도로 봅니다. 통지, 신고, 원인 분석, 재발 방지 조치가 미흡하면 추가 감점 위험이 있습니다.
• 셋째, 내부자 보안과 취약점 점검이 중요해졌습니다. 모의해킹을 포함한 취약점 점검 실적, 내부 직원에 의한 유출 예방 노력이 평가에 반영됩니다.

즉, 평가 준비는 개인정보처리방침 문구를 고치는 수준에서 끝나지 않습니다. 개인정보가 어디에 있고, 누가 접근하고, 사고가 나면 어떤 증빙으로 대응할 수 있는지까지 연결되어야 합니다.

점검 1. 개인정보파일과 처리 흐름이 최신인가

개인정보파일 현황은 보호수준 평가의 출발점입니다. 하지만 현장에서는 실제 운영 중인 신청서, 상담 기록, 민원 접수, 행사 참여자 명단, 위탁 처리 데이터가 개인정보파일 목록과 다르게 움직이는 경우가 많습니다.

특히 부서별로 폼, 엑셀, 외부 SaaS, 메일 첨부파일을 병행하면 개인정보 처리 흐름이 금방 흩어집니다. 평가 전에는 “등록된 파일이 있는가”보다 “실제 업무 흐름과 등록 정보가 일치하는가”를 봐야 합니다.

• 개인정보파일명과 실제 업무명이 일치하는가?
• 수집 항목, 보유 기간, 이용 목적이 현재 운영 기준과 맞는가?
• 부서가 임시로 만든 신청서나 설문도 목록에 반영되어 있는가?
• 수탁사 또는 외부 시스템으로 이동하는 데이터가 표시되어 있는가?

점검 2. 내부자 접근 권한을 설명할 수 있는가

2026년 평가에서는 내부자 보안이 중요한 테마로 다뤄집니다. 내부자 보안은 단순히 직원 교육을 했는지의 문제가 아닙니다. 개인정보에 접근할 수 있는 사람이 업무상 필요한 범위로 제한되어 있고, 그 권한이 주기적으로 정리되는지가 핵심입니다.

담당자는 아래 질문에 답할 수 있어야 합니다.

• 퇴사자, 전보자, 휴직자의 접근 권한이 제때 회수되는가?
• 관리자 권한을 가진 계정이 몇 개인지 확인되는가?
• 공용 계정이나 부서 계정으로 개인정보에 접근하지 않는가?
• 다운로드, 대량 조회, 외부 반출 기록을 확인할 수 있는가?

권한 관리는 사고 예방뿐 아니라 사고 발생 후 원인 분석에도 필요합니다. 접근 기록이 없으면 “누가, 언제, 어떤 개인정보를 처리했는지”를 설명하기 어렵습니다.

점검 3. 유출 대응 절차가 문서가 아니라 실행 가능한가

개인정보 유출 대응 매뉴얼이 있어도 실제 사고 상황에서 작동하지 않으면 평가 대응이 어렵습니다. 유출 사고는 신고, 통지, 피해 최소화, 원인 조사, 재발 방지까지 시간이 촉박하게 이어집니다.

유출 대응 체계는 최소한 아래 수준까지 준비되어야 합니다.

1. 신고 판단 기준이 정리되어 있어야 합니다. 어떤 상황을 유출로 볼지, 누가 최종 판단할지 정해야 합니다.
2. 담당자 연락망이 최신이어야 합니다. 개인정보 담당자, 정보보안 담당자, 시스템 운영사, 수탁사 연락망이 연결되어야 합니다.
3. 증빙 양식이 준비되어 있어야 합니다. 사고 인지 시점, 영향 범위, 조치 내역, 통지 내역을 기록할 양식이 필요합니다.
4. 재발 방지 조치가 추적되어야 합니다. 조치 계획만 만들고 끝나는 것이 아니라 완료 여부를 확인해야 합니다.

평가에서 중요한 것은 “매뉴얼이 있다”가 아니라, 매뉴얼대로 움직였다는 기록입니다.

점검 4. 취약점 점검과 모의훈련 결과가 남아 있는가

개인정보위는 2026년 평가에서 해킹 등 사이버 위협에 대응하기 위한 선제적 예방 조치를 강화한다고 밝혔습니다. 모의해킹을 포함한 취약점 점검 실적도 정성 평가에 반영됩니다.

여기서 실적은 점검을 한 날짜만 의미하지 않습니다. 발견된 취약점, 조치 담당자, 조치 완료일, 재점검 결과까지 이어져야 합니다.

• 개인정보처리시스템 취약점 점검 이력이 있는가?
• 점검 결과의 위험도와 조치 우선순위가 정리되어 있는가?
• 수탁사가 운영하는 시스템의 점검 결과도 확보되어 있는가?
• 조치 완료 후 재점검 증빙이 남아 있는가?

취약점 점검은 정보보안 부서만의 일이 아닙니다. 개인정보 담당자는 점검 결과가 개인정보 처리 위험과 어떻게 연결되는지 확인해야 합니다.

점검 5. 위탁과 외부 서비스 사용 기준이 정리되어 있는가

공공기관의 개인정보 처리는 내부 시스템만으로 끝나지 않습니다. 콜센터, 유지보수사, 클라우드, 문자 발송, 설문 도구, 민원 접수 시스템처럼 다양한 외부 서비스가 연결됩니다.

위탁계약서가 있다는 사실만으로는 충분하지 않습니다. 실제로 어떤 개인정보가 외부로 나가고, 수탁사가 어떤 권한으로 접근하며, 재위탁이나 해외 이전 가능성이 있는지 확인해야 합니다.

• 위탁 업무별 처리 항목과 접근 권한이 정리되어 있는가?
• 수탁사 점검 결과와 개선 조치가 남아 있는가?
• 외부 SaaS 사용 시 개인정보 입력 금지 기준이 있는가?
• 계약 종료 후 개인정보 반환·파기 증빙을 받는가?

특히 부서가 임의로 사용하는 설문, 신청서, 협업 도구는 개인정보 보호수준 평가에서 설명하기 어려운 사각지대가 될 수 있습니다.

캐치시큐가 도울 수 있는 부분

2026년 공공기관 개인정보 보호수준 평가는 점수 관리보다 운영 체계의 설명 가능성이 중요합니다. 개인정보파일, 접근 권한, 위탁 현황, 유출 대응, 취약점 조치가 각각 따로 관리되면 평가 시점에 증빙을 모으는 데 시간이 많이 걸립니다.

캐치시큐는 기관의 개인정보 처리 흐름을 기준으로 필요한 점검 항목을 정리하고, 평가와 감사 대응에 필요한 증빙을 체계적으로 관리할 수 있도록 돕습니다.

다음 상황이라면 사전 점검이 필요합니다.

• 개인정보파일 목록과 실제 업무 현황이 맞는지 확신하기 어려운 경우
• 부서별 신청서, 설문, 민원 접수 개인정보가 흩어져 있는 경우
• 수탁사 접근 권한과 점검 증빙을 한곳에서 보기 어려운 경우
• 유출 대응 매뉴얼은 있지만 실제 훈련 기록이 부족한 경우
• 2026년 보호수준 평가 전에 내부 점검 기준을 정리해야 하는 경우

마치며

2026년 공공기관 개인정보 보호수준 평가는 유출 사고가 난 뒤의 수습보다 사전에 위험을 줄이는 운영 체계를 더 강하게 요구합니다. 내부자 보안, 취약점 점검, 사고 대응, 위탁 관리가 각각 분리되어 있으면 평가 자료는 준비할 수 있어도 실제 리스크를 줄이기는 어렵습니다.

공공기관 개인정보 담당자라면 지금 필요한 것은 문서 하나를 더 만드는 일이 아니라, 개인정보가 수집되고 이용되고 외부로 이동하고 파기되는 흐름을 하나로 설명할 수 있게 만드는 일입니다. 캐치시큐와 함께 2026년 보호수준 평가 전에 우리 기관의 개인정보 관리 상태를 먼저 점검해 보세요.

참고: 개인정보보호위원회 2026년 4월 13일 보도자료, 공공기관 개인정보보호수준 평가제도 안내