민선 9기 체납관리단 303명 선발, ISMS-P 심사원이 본 개인정보 보호 쟁점
2.3대 1 경쟁률로 선발된 체납관리단 303명이 지방세 제도와 개인정보 보호 교육 후 현장 투입 예정. 민감정보 처리와 위탁 관리 체계가 핵심 과제로 부상했다.
https://privacynews.kr/s/4882e0핵심 요약
- 행안부, 민선 9기 출범과 동시에 체납관리단 303명을 2.3대 1 경쟁률로 선발 완료 - 지방세 제도, 개인정보 보호, 현장 상담 요령 등 필수 교육 후 현장 배치 예정 - 체납자 재산·소득 등 민감정보 대량 처리로 ISMS-P 인증기준 준수 여부가 핵심 쟁점주요 내용
2026년 7월 현재, 행정안전부는 민선 9기 지방자치단체의 조세정의 실현을 위해 체납관리단 303명을 선발했다고 밝혔다. 지난 4월 채용 공고를 통해 총 303명이 지원해 2.3대 1의 경쟁률을 기록했으며, 이들은 현장 투입 전 지방세 제도와 개인정보 보호, 현장 상담 요령에 대한 체계적 교육을 이수하게 된다.
체납관리단은 지방세 체납자를 대상으로 납부 독려, 재산 조사, 복지 연계 등 다양한 업무를 수행한다. 특히 체납자의 재산 현황, 소득 정보, 가족 관계 등 개인정보보호법상 민감정보와 고유식별정보를 광범위하게 처리하게 되므로, 정보주체의 권리 보호와 조세 행정의 효율성이라는 두 가치를 균형있게 추구해야 하는 과제를 안고 있다.
행안부 관계자는 개인정보 보호 교육을 필수 과정으로 편성한 점을 강조하며, 체납 관리 과정에서 발생할 수 있는 개인정보 유출 사고를 사전에 차단하겠다는 의지를 밝혔다. 이는 최근 공공기관의 개인정보 처리 과정에서 발생한 일련의 사고들을 반영한 조치로 평가된다.
체납관리단의 운영 방식은 지자체별로 직접 고용 또는 민간 전문업체 위탁 등 다양한 형태로 나타날 것으로 예상된다. 이 경우 개인정보 처리 위탁 계약 체결, 위탁업무 관리·감독, 재위탁 제한 등 개인정보보호법상 위탁자 책임이 중요한 쟁점으로 부상한다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 체납관리단 운영은 전형적인 '공공기관 민감정보 대량 처리' 사례로서 인증심사 시 집중 점검 대상이 된다. 특히 303명이라는 대규모 인력이 동시에 투입되는 만큼, 접근권한 관리, 개인정보 처리 이력 관리, 내부 감사 체계 등 기술적·관리적 보호조치가 체계적으로 설계되어야 한다. 교육 이수만으로는 불충분하며, 업무 프로세스 전반에 '설계 단계부터의 개인정보 보호(Privacy by Design)' 원칙이 내재화되어야 한다.
실무적으로는 체납관리 시스템 접속 기록의 실시간 모니터링, 비정상 조회 행위 탐지, 개인정보 파일 암호화, 업무 목적 외 열람 방지 등 기술적 통제가 필수다. 또한 체납관리단원의 퇴직 또는 계약 종료 시 개인정보 반환·파기 절차, 서약서 징구, 사후 책임 추적 체계 등이 명확히 수립되어야 한다. 지자체는 이번 기회에 기존 체납 관리 프로세스 전반을 ISMS-P 인증기준에 맞춰 재설계할 필요가 있다.
ISMS-P 심사원 체크포인트
1. 인증기준 2.8.2 (접근권한 관리) 체납관리단원 303명에 대한 개인별 직무 기반 접근권한 부여 체계를 점검한다. 업무 필요 범위 내 최소 권한 원칙(Least Privilege) 적용 여부, 정기적 권한 재검토 절차, 퇴직·이동 시 즉시 권한 회수 체계가 구축되어 있는지 확인한다. 개인정보보호법 제29조(안전조치의무)와 직결되며, 특히 대량 개인정보 처리자의 경우 개인정보의 안전성 확보조치 기준 제7조(접근통제) 준수가 필수다.
2. 인증기준 3.1.5 (개인정보 처리 위탁 관리) 민간 전문업체에 체납관리 업무를 위탁하는 경우, 개인정보보호법 제26조(업무위탁)에 따른 문서에 의한 위탁 계약 체결, 위탁업무 수행 목적 외 개인정보 처리 금지, 재위탁 제한, 위탁업무 종료 시 개인정보 반환·파기 등 법정 필수 사항이 계약서에 명시되어 있는지 심사한다. 또한 위탁업체에 대한 연 1회 이상 정기 관리·감독 실시 여부를 점검한다.
3. 인증기준 3.2.1 (개인정보 수집 시 동의 및 고지) 체납 관리 목적의 개인정보 처리는 지방세기본법 등 법령에 근거하여 정보주체 동의 없이 처리 가능하나, 개인정보 처리방침을 통해 수집 목적, 항목, 보유기간, 제3자 제공 내역 등을 명확히 공개해야 한다. 특히 신용정보, 소득·재산 정보 등 민감정보 처리 시 개인정보보호법 제23조(민감정보 처리 제한) 제1항 제2호 법령상 의무 준수를 위한 불가피한 경우에 해당함을 입증할 수 있어야 한다.
CPPG·ISMS-P 연계 포인트
최소권한 원칙과 직무분리(Separation of Duties) 체납관리단 303명에 대한 접근권한 설계 시 핵심이 되는 개념이다. 각 단원이 담당하는 업무 범위 내에서만 필요한 최소한의 개인정보에 접근하도록 제한하고, 조회·수정·삭제 등 민감한 권한은 분리하여 부여해야 한다. CPPG 시험에서는 역할 기반 접근통제(RBAC) 모델과 연계하여 출제되며, ISMS-P 심사에서는 실제 시스템 권한 설정 적정성을 확인한다.
개인정보 처리 위탁의 법적 책임 위탁자(지자체)는 수탁자(체납관리단 또는 민간업체) 선정부터 관리·감독까지 전 과정에 책임을 진다. 개인정보보호법 제26조는 위탁으로 인한 정보주체 피해 발생 시 위·수탁자 모두에게 책임을 물을 수 있도록 규정하고 있으며, 위탁 사실의 공개(개인정보 처리방침 기재), 위탁계약서 필수 기재사항, 수탁자 교육 등이 시험 및 인증심사의 단골 주제다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
