"사후약방문 그만"...개인정보 최종 책임 CEO가 지고 모의해킹도 정례화

개인정보위, 대규모 개인정보처리 全분야 '사전 예방' 중심 점검 강화
재발 방지·관리자 책임 강화·피해 구제 체계 실효성 제고

[아이뉴스24 윤소진 기자] 정부가 기업의 개인정보 보호 최종 책임을 기업 대표(CEO)에게 부여하는 방안을 추진한다. 전체 정보화 예산의 최소 10%를 개인정보보호 예산으로 확보하도록 했다. 또한 주요 개인정보처리 시스템에 대해서는 취약점 제거와 연 1회 모의해킹을 정례화한다.

고학수 개인정보보호위원회 위원장이 9월 10일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제20회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. [사진=개인정보보호위원회]

개인정보보호위원회(개인정보위)는 지난 4월 18일 발생한 SKT 고객정보 유출 사고와 같은 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위해 마련한 이같은 내용을 골자로 한 '개인정보 안전관리 체계강화 방안'을 추진한다고 11일 밝혔다.

개인정보위는 그간 사고 발생 후 과징금 부과와 규제 강화 같은 사후 조치만으로는 급속히 진화하는 해킹 기술에 대응하기 어렵다고 지적했다. 기업들이 개인정보 보호를 ‘불필요한 비용’으로만 여기고 최소한의 법적 의무만 지키는 관행도 문제로 꼽혔다. 과징금이 전액 국고에 귀속돼 실제 피해자 구제에 쓰이지 못하는 모순된 구조 역시 개선이 필요하다는 진단이다.

이에 개인정보위는 개인정보 보호를 ‘사전 예방’ 중심으로, ‘비용’이 아닌 ‘투자’로 인식 전환을 유도하는 체계 개편에 나섰다. 이번 방안은 크게 △유사사고 예방을 위한 선제적 제도개선 △CEO·CPO 책임 강화 포함 상시적 내부통제 △실질적 피해구제 체계 마련 등 세 축으로 구성됐다.

우선 주요 개인정보처리시스템에 대한 취약점 제거와 연 1회 모의해킹을 정례화한다. 비정상적 접근 시도를 자동 탐지하는 이상징후 관리 체계를 마련한다. 주민등록번호·비밀번호 등 법정 필수 암호화 대상 외에도 전화번호·상세주소 같은 민감 정보로 암호화를 확대한다. 다크웹에서 개인정보가 불법 유통되는지 탐지해 사업자와 정보주체에 신속히 공유하는 체계를 구축한다. 개인정보보호 인증제도(ISMS-P)는 취약점 점검과 현장심사를 강화해 이동통신과 주요 공공시스템까지 단계적으로 의무화한다.

내부통제 측면에서는 CEO에게 개인정보 보호의 최종 책임을 부여한다. CPO는 지정 신고제와 이사회 보고 의무를 통해 권한을 보장받는다. 대규모 개인정보를 처리하는 기업은 전담인력을 둔다. 전체 정보화 예산의 최소 10%를 개인정보보호 예산으로 확보해야 한다. 지금까지 공공기관에만 의무였던 개인정보 영향평가는 민간으로 확대되고 대규모 수탁사와 솔루션 제공자까지 관리 범위가 넓어진다.

권리구제 실질화를 위해서는 동일한 방식으로 사고를 반복하는 기업에 징벌적 과징금을 검토한다. 중대한 피해가 예상될 경우 실제 유출자뿐 아니라 유출 가능성이 있는 사람에게까지 통지 의무를 확대한다. 과징금을 피해구제 기금으로 활용하는 방안도 추진된다. 개인정보 옴부즈만 설치, 포렌식랩 구축, 전문인력 양성, 보험상품 개선 등 피해자 보호 장치도 강화된다.

적용 대상은 100만명 이상 대규모 개인정보를 처리하는 공공기관 및 민간사업자다. 개인정보위는 연내 관련 법 개정안을 마련해 2026년 상반기 국회에 제출한다.

고학수 개인정보위원장은 "이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하고, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다"고 말했다.

/윤소진 기자(sojin@inews24.com)

---

---

---

---

---

---

---

---

---

포토뉴스

---

---