개보위, 사고 대응 패러다임 전환 선언⋯사후제재서 사전예방 체제로
예방 투자 노력 시 인센티브 제공⋯반복·중대 사고 발생 시 강력 처벌
[아이뉴스24 안세준 기자] "사전 예방 체계가 중요하다. 기존의 사후 제도 중심에서 사전 예방을 함으로써 최대한 (보안) 사고가 일어나지 않도록 (기업들의) 예방 투자를 유도하는 게 매우 중요한 문제라고 생각한다."
송경희 개인정보보호위원장은 5일 정부서울청사에서 진행된 취임 후 첫 공식 기자간담회에서 사전 예방 체제 전환의 중요성을 강조하며 이같이 말했다. 기존의 개인정보 유출 등 사고 발생 후 대응 체계에서 벗어나 개인정보 유출 가능성을 사전에 최소화할 필요가 있다는 게 그의 설명이다.
![송경희 개인정보보호위원장이 5일 정부서울청사에서 진행된 정례브리핑에서 취재진 질의에 답변하고 있다. [사진=안세준 기자]](https://image.inews24.com/v1/56259b325264af.jpg)
송경희 개인정보보호위원장이 5일 정부서울청사에서 진행된 정례브리핑에서 취재진 질의에 답변하고 있다. [사진=안세준 기자]"사후 대응→사전예방 전환, 예방 투자 이끄려는 목적"
앞서 개보위는 대규모 개인정보 유출 사고 재발을 막기 위해 사고 대응 패러다임을 사후 제재에서 사전 예방으로 전환한다고 밝혔다. 반복적인 유출 사고 기업에는 가중 제재를 부과하는 동시에 평소 선제적 조치를 한 기업에는 과징금 감경 등 인센티브를 제공하는 방향이다.
다만 일각에서는 기업에 대한 규제 강화로 이어질 수 있다는 우려가 제기돼 왔다. 사전 예방을 명분으로 정부의 점검 권한이 확대되면, 결국 기업이 새로운 의무를 부담하거나 추가 인증·보고 절차가 늘어날 수 있다는 이유에서다.
송 위원장은 규제 강화 목적이 아니라고 밝혔다. 그는 "기업들이 아무리 노력해도 (해커들이) 타깃을 잡아 공격하는 것을 100% 막아낼 수 없다는 건 우리가 다 알고 있는 사항이다. 그럼에도 (예방 투자 노력을 했다면) 우리가 인센티브 등 인정을 해주겠다는 것"이라며 "자발적으로 할 수 있는 체제를 유도하는 게 목적"이라고 했다.
이를 위해 반복적 사고 등에 대한 규제는 강화된다. 송 위원장은 "심각한 사고가 반복적으로 발생한다든지, 국민들의 기본권을 심각하게 침해할 만한 일들을 했다든지 이런 경우에 대해서는 강력하게 처벌하겠다는 규제를 더 만들 수는 있을 것"이라며 "이는 민간뿐만 아니라 공공 분야에도 마찬가지로 적용이 된다"고 설명했다.
사전 예방 전환은 처벌이 목표가 아니라, 반복되는 침해사고를 최소화하기 위한 예방 투자를 이끌어내겠다는 게 그의 설명이다.
ISMS-P 인증 체제 개편⋯현장·예비심사 더하고 문제 시 인증 취소도
송 위원장은 개인정보보호 관리체계 인증(ISMS-P)의 개편도 예고했다. 그는 "ISMS-P 인증을 받은 기업도 사고가 난다. 실효성이 있느냐는 비판이 있다"며 "전반적인 보호 수준을 높이는 데 상당히 기여를 했지만 조금 더 실효성 있게 만들 필요가 있다"고 했다.
그러면서 "현장 심사, 본격적인 본심사에 앞서 예비 심사 등의 과정을 넣으려고 한다"면서도 "인증 받은 후 1년마다 모의 해킹이라든지 사후 심사를 하는 것도 고려 중이다. 문제가 있을 경우에 우리가 인증을 취소하는 등 적극적인 조치를 취할 수 있다"고 언급했다.
문제는 부족한 예산과 인력이다. 송 위원장은 "그렇게 하려고 하면 현재 예산이 2억이다. 200여개 기업들에 대한 적극적인 일들을 하기에는 어렵다"며 "예산 증액 측면에서 노력하고 있는 상황"이라고 밝혔다.
인력에 대해서는 "2022년에 조사관이 31명이었다. 현재도 31명이다. 반면 3년 동안 개보위 처분 건수는 56% 늘었다. 사고에 대한 규모는 500% 넘게 늘었다"며 "사고 조사 등에 대한 수요는 커지고 있는 데 비해 조사관은 그대로다. 얼마나 어려움을 겪고 있는지 짐작될 수 있을 것"이라고 했다.
관련 부처와 협력해 사고 대응⋯개보위 역할선 주도적
개인정보분쟁조정위원회가 SK텔레콤 피해자에 1인당 30만원을 지급하라고 조정안을 내놓은 데 대해서는 "양 측이 모두 받아들일 경우 결정이 되는 구조다. 추이를 지켜 볼 필요가 있다"고 했다. 위원회 독립성을 이유로 구체적인 평가는 자제했다. KT 소액결제 사고에 대해서는 "아직 조사가 진행 중"이라며 "마무리되면 방향을 명확하게 말씀드릴 수 있을 것"이라고 했다.
송 위원장은 보안사고 대응에서의 부처 간 역할 분담 원칙을 분명히 했다. 네트워크망에 기반한 침해사고 원인 조사는 과학기술정보통신부(민간)와 국가정보원(공공)이 주도한다. 이들과 협업하되 개인정보 유출이 확인되면 개보위가 해당 시스템을 집중 조사하고 법에 따른 처분까지 주도한다는 설명이다.
그는 "사고가 발생 시 여기에서도 하고, 저기에서도 하고 (컨트롤타워가 불분명한 것처럼) 보일 수도 있다"며 "실제로 내부적으로는 역할을 나눠서 하고 있다. 개보위가 맡아야 될 부분에 대해서는 주도적으로 다 하고 있다"고 말했다.
/안세준 기자(nocount-jun@inews24.com)포토뉴스
![[신차공개] 볼보트럭, 스톱·스타트 기능 도입·현대차그룹, 2-스테이지 모터시스템 공개](https://it.donga.com/media/__sized__/images/2025/11/10/6553875cf461465e-thumbnail-1920x1080-70.jpg)
English (US) · 