개인정보 유출 반복되면 징벌적 과징금 검토…피해구제 기금 도입

정부가 개인정보 유출 사고가 반복해 발생하는 기업엔 과징금을 부과하고 중장기적으로 징벌적 과징금 도입을 검토한다. 반면 개인정보 보호 노력을 기울인 기업엔 인센티브를 준다. 또 과징금이 실제 피해자 구제에 직접 활용될 수 있도록 기금 조성도 검토한다.

개인정보보호위원회가 이 같은 내용을 담은 '개인정보 안전관리 체계 강화 방안'을 발표했다.

이번 대책은 최근 발생한 SK텔레콤 고객정보 유출에서 드러난 제도적·기술적 미비점을 보완하고, 급속히 발전하는 해킹 기술에 대응하기 위해 마련됐다.

먼저, 주요 시스템 외부에 드러난 취약점을 없애고 이상징후를 살피는 등 '공격표면관리'(ASM)를 강화하며 중요한 정보에는 암호화 적용을 확대하는 등 선제적 조치를 정례화한다.

구체적으로 주요 개인정보처리시스템을 대상으로 연 1회 모의해킹을 실시하고 정보통신망 관리 시스템 등에 대한 취약점 점검과 보완을 제도화하는 방식이다.

개인정보보호 관리체계(ISMS-P) 인증 제도는 모의해킹 등 현장심사 중심으로 고도화하고, 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템·이동통신서비스 등 핵심 분야 단계적 의무화를 검토한다.

기업 내부통제를 강화하기 위해 개인정보 보호 인력·예산 투자 기준을 제시하고, 이를 충족한 기업엔 혜택을 부여한다.

아울러 기업 최고경영자(CEO)가 개인정보 보호 관련 위험관리 및 내부통제의 최종 책임을 지도록 하고, 개인정보보호책임자(CPO)는 지정 신고제 도입, 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

개인정보위는 동일한 방식으로 반복적으로 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업엔 과징금 가중 부과할 방침이다. 중장기적으로는 '징벌적 과징금' 도입 등도 검토한다.

특히, 개인정보보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토·추진한다. 개인정보위가 처분한 과징금은 2022년 1018억원, 2023년 232억원, 지난해 611억원에 달한다. 하지만 전액 국고에 귀속되는 만큼 실제 피해자 구제에 도움이 되지 못한다는 지적이 제기돼왔다.

개인정보위는 이번 대책이 현장에 안착할 수 있도록 사업자 설명회와 의견수렴을 거쳐 합리적 기준을 마련한 뒤 법령 개정과 예산 확보 등 후속 조치를 이어가겠다고 밝혔다.

고학수 개인정보위원장은 “대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 '불필요한 비용'이 아닌 고객의 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하길 바란다”고 말했다.

조재학 기자 2jh@etnews.com