고객정보 유출 과징금, 피해자에 돌려준다…개인정보위, 신규 방안 제시

개인정보보호위원회(개인정보위)가 지난 4월 발생한 SK텔레콤 고객정보 유출 사고와 같이 국민 생활에 큰 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 '개인정보 안전관리 체계 강화 방안'을 추진한다고 11일 발표했다.

이번에 마련된 '개인정보 안전관리 체계 강화 방안'은 지난 SK텔레콤 고객정보 유출 사고에서 드러난 제도적·기술적 미비점을 보완하는 차원에서 마련됐다. 개인정보위에 따르면 이번 방안은 지금까지 이어왔던 사후 처방과 제재만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 기반으로 기업이 보다 선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련을 핵심 방향으로 하고 있다.

개인정보위는 이번 방안을 마련하기 위하여 지난 5월부터 위원회의 여러 부서가 참여하는 전담반을 구성한 바 있다. 관련 전문가와 사업자를 대상으로 한 간담회, 국내외 자료 조사 등을 통해 현행 규제시스템의 문제점과 기업의 인식, 관행, 투자 규모, 피해자에 대한 권리구제 실효성 등을 종합적으로 분석했다.

개인정보위는 "현행 규제시스템은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항을 중심으로 규율하고 있다"며 "기업이 추가적인 보호조치를 해야 할 제도적 유인이 부족한 상황"이라고 진단했다.

이어 "급속히 발전하는 해킹 기술을 고려할 때 유출사고 발생시마다 각종 규제를 추가하는 기존 방식으로는 신종 해킹기법에 유연하게 대응할 수 있는 예방적 보호 체계 마련이 곤란하다"고 덧붙였다.

이에 개인정보위는 제재 등의 사후적 조치 보다는 사전적 예방을 중심으로 하는 개인정보 안전관리 체계로의 패러다임 전환이 필요하다는 결론을 내렸다고 밝혔다.

개인정보위는 글로벌 수준에 비해 개인정보 보호와 관련된 인적·물적 투자 규모는 아직 낮은 수준이라고도 지적했다. 실제 한국인터넷진흥원(KISA)이 발표한 통계에 따르면 2023년 11월 기준 기업이 정보기술 투자액 대비 정보보호 부문에 투자하는 비율은 미국이 11.6%인데 비해 한국은 6,1% 수준에 머무르는 것으로 나타났다.

개인정보위는 지난 SK텔레콤 고객정보 유출 사고의 경우와 같이 국민 생활에 밀접한 대규모 정보시스템 중에서 이미 해킹이 이루어졌거나 악성 프로그램이 설치되어 있을 가능성을 고려하여 유사 사고 예방을 위한 기술적 조치를 우선 추진할 방침이다. 최고경영임자(CEO)의 책임 명확화와 인력·예산 투입 기준 등의 내부통제 강화를 위한 방안도 마련한다.

먼저 기업 내부의 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화한다. 주요 정보에 대한 암호화 적용 확대 등 선제적 조치도 정례화한다. 평소 개인정보 보호를 위한 선제적 보호조치를 실시한 기업에 대해서는 과징금 감경 등 인센티브 제공 체계 정비도 추진한다.

개인정보 보호 수준을 객관적으로 평가하는 '개인정보보호 관리체계(ISMS-P)' 인증 제도는 신종 해킹기법을 고려한 모의해킹 등 현장심사를 중심으로 인증체계를 고도화한다고 밝혔다.

개인정보위는 인력과 예산 등 개인정보 보호 분야 투자 확대를 위한 구체적 기준을 제시할 예정이다. 기업이나 공공기관에서 기준을 충족하기 위한 노력 여부에 따라 다양한 인센티브 제공을 검토한다고 밝혔다.

실질적 관리주체인 개인정보보호책임자(CPO)가 다양한 부서의 개인정보 처리에 관한 사항을 총괄하여 내부통제를 할 수 있도록 지정 신고제를 도입한다. 개인정보위는 "CPO에 연간 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화할 것"이라고 밝혔다.

기존 공공분야에서 대규모 개인정보처리스템을 신규 구축 또는 변경하는 경우에 의무적으로 적용하고 있는 ‘개인정보 영향평가’를 민간에서도 활성화 될 수 있도록 대상과 방법, 기준을 구체화할 예정이다.

개인정보위는 "같은 방식으로 반복적 해킹을 당하는 등 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 통해 경각심을 가질 수 있도록 할 것"이라며 "중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다"고 밝혔다. 이어 "개인정보 유출로 인해 중대한 피해가 예상되는 경우에는 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대한다"고 발표했다.

개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안도 검토한다,

개인정보위는 이번에 발표한 개인정보 안전관리 체계 강화 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견수렴을 통해 이행 가능한 합리적 기준을 명확히 설정하고, 이를 법령ㆍ고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다. 대부분의 법률 개정사항은 연내 개정안을 마련해 내년 상반기 국회에 제출할 예정이다. 중장기 검토가 필요한 사항은 이해관계자 의견수렴 후 내년까지 개정안 마련을 추진한다.

고학수 개인정보위 위원장은 "이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 불필요한 비용이 아닌 기본적 책무이자 전략적 투자로 인식하길 바란다"고 말했다.
최지희 기자 mymasaki@hankyung.com