김미라 기자
최장혁 개인정보보호위원회 부위원장이 11일 오전 서울 종로구 정부서울청사에서 '개인정보 안전관리체계 강화 방안'에 대해 브리핑하고 있다.(사진=개인정보위 제공)
[한국의정신문 김미라 기자]
개인정보보호위원회가 대규모 개인정보 유출 사고 재발 방지를 위해 강력한 제도 개선안을 내놓았다. 최근 SK텔레콤 고객정보 유출 사건을 계기로 해킹사고가 반복되는 기업에 대해서는 징벌적 과징금 도입을 검토하는 한편, 선제적 안전조치를 취한 기업에는 과징금 감경 등 인센티브를 제공한다는 방침이다.
위원회는 11일 서울 종로구 정부서울청사에서 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 이번 대책은 SKT 고객정보 유출 사건을 통해 드러난 제도적·기술적 허점을 보완하고, 사후 처벌 위주의 대응에서 벗어나 사전 예방 중심의 관리 체계를 마련하는 데 초점이 맞춰졌다.
위원회는 개인정보 유출 사고가 같은 기업에서 반복적으로 발생하는 경우 과징금 가중 부과를 원칙으로 하고, 중장기적으로는 징벌적 과징금 제도를 도입해 제재 실효성을 강화하겠다고 밝혔다. 이는 기존의 처벌만으로는 급격히 진화하는 해킹 수법에 대응하기 어렵다는 문제의식에 따른 것이다.
또한 개인정보 유출 피해가 실제로 발생한 경우뿐 아니라, 유출 가능성이 있는 이용자에게도 통지를 확대해 2차 피해를 예방한다. 아울러 과징금을 단순히 국고로 귀속시키는 데 그치지 않고, 피해자 구제 재원으로 활용하는 방안도 추진한다.
이번 방안은 기업이 스스로 보안 역량을 강화하도록 유도하는 ‘당근과 채찍’ 구조로 설계됐다. 개인정보위는 평소 선제적·적극적 보호조치를 취한 기업에 대해서는 과징금 경감 등 인센티브를 제공한다. 예컨대, 주요 시스템의 취약점을 주기적으로 점검하고 이상징후를 탐지하는 등 ‘공격표면관리’를 정례화하거나, 핵심 정보에 대한 암호화를 확대 적용한 기업은 제재 완화 대상이 될 수 있다.
또한 이미 유출된 개인정보가 다크웹이나 불법 유통망에서 거래되는지를 실시간 탐지하고, 관련 사실이 확인되면 사업자와 유관기관에 신속히 공유해 추가 피해를 차단할 예정이다.
개인정보 보호 관리체계 개선도 추진된다. 우선 기업 내부에서 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 개인정보 처리 업무를 총괄하도록 지정 신고제를 도입한다. CPO는 매년 이사회에 보고할 의무를 지며, 법적 권한과 직무 보장이 강화된다.
더불어 기업 최고경영자(CEO)에게 개인정보 보호와 관련한 최종적 책임이 있다는 점을 명확히 했다. 개인정보 분야의 인력·예산 확대를 위한 구체적 기준도 마련해, 이를 충족한 기업에는 인센티브를 제공할 계획이다.
공공기관에서 의무적으로 시행 중인 개인정보 영향평가 제도 역시 민간 부문으로 확대된다. 신규 시스템 구축이나 대규모 변경 시 사전 영향평가를 실시하도록 해, 잠재적 위험을 줄이겠다는 구상이다.
피해자 권리구제도 실질적으로 강화된다. 개인정보위는 개인정보 옴부즈만을 신설해 피해자 지원과 시장 감시 기능을 수행하도록 하고, 개인정보 침해 위협에 대한 선제 대응 체계를 확립한다.
또한 일정 규모 이상의 기업에는 보험 상품 가입이나 손해배상 보장제도 강화를 유도해, 예기치 못한 유출사고 발생 시 피해자에 대한 보상이 신속하게 이뤄지도록 한다. 이는 피해자 개인이 긴 소송 절차를 거치지 않고도 실질적 구제를 받을 수 있는 기반이 될 전망이다.
위원회는 이번 대책이 산업 현장에서 실효성 있게 적용될 수 있도록 사업자 설명회와 의견수렴을 거쳐 구체적 이행기준을 마련한다. 이를 법령·고시 개정 및 관련 예산 확보와 연계해 추진한다는 방침이다.
고학수 개인정보위원장은 “대규모 개인정보를 처리하는 사업자가 보안 투자를 단순한 비용이 아니라 고객 신뢰 확보를 위한 기본 책무이자 전략적 투자로 인식해야 한다”며 “이번 대책이 기업들의 인식 전환을 이끌고 국민의 신뢰 확산으로 이어지기를 기대한다”고 말했다.
한편, 위원회는 SKT 유출 사고에 이어 KT와 LG유플러스의 개인정보 유출 의혹에 대해서도 과학기술정보통신부, 경찰 등 관계 기관과 함께 정밀 조사에 착수하기로 했다. 이동통신 3사의 개인정보 보호 실태가 동시에 도마 위에 오른 만큼, 이번 대책의 현장 적용 여부가 주목된다.
