개인정보보호위원회(개인정보위)가 2026년 공공기관 개인정보 보호수준 평가를 전면 개편해 9월부터 2027년 3월까지 진행한다. 올해 평가의 핵심은 사고 이후 처분보다 사전 예방으로의 전환이다. 가장 큰 변화는 개인정보 유출사고 발생 기관에 적용하는 최대 감점이 기존 10점에서 20점으로 두 배 높아진 것으로, 사고 이후 신고·통지·피해 확산 방지·재발방지 조치가 미흡하면 최대 5점을 추가로 깎는다. 평가 대상은 중앙행정기관·지방자치단체·공공기관·지방공기업·교육청 등 1,464개 기관이다.
올해 처음 도입된 심층평가 지표에서는 ‘개인정보 유출 등 사고 예방과 대응 노력’이 10점 배점으로 신설됐다. 기관이 모의해킹을 포함한 취약점 점검을 수행했는지, 발견한 취약점을 실제로 조치했는지가 평가 대상이다. 올해의 집중 주제는 내부자 보안으로, 직원·퇴직자·외부 용역인력의 계정과 권한 관리 적절성, 개인정보 조회·반출 기록 점검, 비정상 접근 탐지 체계가 포함된다. 기관장의 개인정보 보호 노력에 대한 배점도 5점에서 10점으로 높아져, 보호계획 보고·인력·예산 배정·이행 점검 여부가 반영된다.
평가 방식도 달라진다. 자체평가와 심층평가의 반영 비율이 60대40에서 50대50으로 조정돼 기관 제출 자료 의존도를 낮추고 외부 평가단의 현장 검증 비중을 높인다. 소속기관과 교육지원청의 평가 등급 체계는 기존 5단계에서 ‘보통·일부 미흡·미흡’ 3단계로 바뀌며 미흡 기관 명단이 공개된다. 또한 대규모 개인정보를 처리하는 주요 공공시스템에 대한 취약점 점검과 외부 전문인력의 침투테스트를 연 1회 이상 실시하도록 고시를 개정할 계획이다. ISMS-P(정보보호·개인정보보호 관리체계) 인증도 서류 심사보다 기술 검증 중심으로 전환되며, 핵심 항목을 충족하지 못하면 본심사를 받을 수 없다.
