개인정보 관리체계 '대수술'⋯유출사고 반복 기업에 과징금 '가중'(종합)

[아이뉴스24 안세준·윤소진 기자] 개인정보보호위원회가 대규모 개인정보 유출 사고 재발을 막기 위해 규제 패러다임을 '사후 제재'에서 '사전 예방'으로 전환한다. 반복적인 유출 사고 기업에는 가중 제재를 부과하는 동시에 평소 선제적 조치를 한 기업에는 과징금 감경 등 인센티브를 제공하는 방향이다.

최장혁 개인정보위 부위원장은 11일 정부서울청사에서 브리핑을 열고 "SKT 고객정보 유출 사고와 같은 대규모 개인정보 유출을 막기 위해 개인정보 안전관리체계 강화 방안을 마련했다"며 "사후 땜질식 규제로는 급변하는 해킹 기술에 대응할 수 없어, 기업이 적극적으로 선제적 보호조치를 취할 수 있는 인센티브 중심 체계로 전환한다"고 밝혔다.

적극적 조치 취할 경우 과징금 '경감'⋯반복 해킹 기업에는 '가중'

개인정보위는 개인정보 보호를 사전 예방 중심으로, 비용이 아닌 투자로 인식 전환을 유도하는 체계 개편에 나섰다. 이번 대책은 △유사 사고 예방을 위한 선제적 제도 개선 △상시적 내부통제 강화 △엄정한 처분 및 권리구제 실질화 등 3개 축, 총 12개 추진과제로 구성됐다.

우선 주요 개인정보처리시스템에 대한 취약점 제거와 연 1회 모의해킹을 정례화한다. 비정상적 접근 시도를 자동 탐지하는 이상징후 관리 체계를 마련한다. 주민등록번호·비밀번호 등 법정 필수 암호화 대상 외에도 전화번호·상세주소 같은 민감 정보로 암호화를 확대한다.

다크웹에서 개인정보가 불법 유통되는지 탐지해 사업자와 정보주체에 신속히 공유하는 체계를 구축한다. 개인정보보호 인증제도(ISMS-P)는 취약점 점검과 현장심사를 강화해 이동통신과 주요 공공시스템까지 단계적으로 의무화한다.

내부통제 측면에서는 CEO에게 개인정보 보호의 최종 책임을 부여한다. CPO는 지정 신고제와 이사회 보고 의무를 통해 권한을 보장받는다. 대규모 개인정보를 처리하는 기업은 전담인력을 둔다. 전체 정보화 예산의 최소 10%를 개인정보보호 예산으로 확보해야 한다. 공공기관에만 의무였던 개인정보 영향평가는 민간으로 확대되고 대규모 수탁사와 솔루션 제공자까지 관리 범위가 넓어진다.

권리구제 실질화를 위해서는 동일한 방식으로 사고를 반복하는 기업에 징벌적 과징금을 검토한다. 중대한 피해가 예상될 경우 실제 유출자뿐 아니라 유출 가능성이 있는 사람에게까지 통지 의무를 확대한다.

과징금을 피해구제 기금으로 활용하는 방안도 추진된다. 개인정보 옴부즈만 설치, 포렌식랩 구축, 전문인력 양성, 보험상품 개선 등 피해자 보호 장치도 강화된다.

'소액결제 피해' KT에 자료 제출 요구⋯10일자 정식 조사 전환

이날 브리핑에서 최 부위원장은 징벌적 과징금과 관련해 "징벌적 과징금 제도는 다른 법률과의 관계가 있어 연구를 통해 장기적으로 추진할 방침이다. 또 현재 과징금 부과 체계에도 다양한 가중·감경제도가 있어 이를 적극 활용하면 법 개정 전에도 일정한 효과를 낼 수 있다고 본다"고 설명했다.

과징금을 피해구제 재원으로 활용하는 방안에 대해서는 "기금화는 기재부와 협의해야 한다. 기업이 과징금을 내기 전 개인정보위와 협의해 선제적 투자를 하면 과징금 산정에 반영하는 제도를 내부적으로 추진할 수 있도록 검토 중"이라고 덧붙였다.

CEO 책임 강화와 관련한 질문에는 "CEO가 회사 인사권자인데 본인을 징계하는 것은 법적으로 문제가 있다. 2023년 개인정보보호법 개정으로 개인정보처리자에 대한 직접 형사처벌은 줄이고, 기업·기관 전체 매출액의 최대 3%까지 과징금을 부과할 수 있도록 했다. 중대재해처벌법은 CEO를 직접 처벌하지만, 개인정보보호법은 그렇게 하기가 어려운 구조라는 점을 반영했다"고 했다.

개인정보위는 최근 KT와 LG유플러스의 보안 사고에 대한 조사에 착수했다. 진행 상황에 대해 남석 개인정보위 조사조정국장은 "KT와 LG유플러스에 대해 해외 보안 매체 지적과 민원이 있어 사실관계를 확인해 왔다. KT는 소액결제 피해도 발생해 자료 제출을 요구했고, 10일자로 정식 조사로 전환했다. 경찰·과기정통부와 긴밀히 공조해 신속하고 정밀하게 조사하겠다"고 했다.