[아이뉴스24 윤소진 기자] SKT·KT·롯데카드·쿠팡 등 국민 생활과 밀접한 통신, 금융, 유통 분야에서 대규모 개인정보 유출 사고가 잇따르면서 개인정보보호위원회가 제재·배상 수단을 동시에 키우는 방향으로 제도 개편을 추진한다. 개인정보위는 반복·중대 위반에 전체 매출액의 최대 10%까지 부과하는 '징벌적 과징금' 특례와 함께, 단체소송 요건에 ‘손해배상’을 추가해 피해 구제 실효성을 높일 방침이다.
![송경희 개인정보보호위원회 위원장이 12일 정부세종청사 중앙동 합동브리핑실에서 브리핑을 진행하고 있다. [사진=개인정보보호위원회]](https://image.inews24.com/v1/20ee2d54f86fa8.jpg)
개인정보위는 12일 정부세종컨벤션센터에서 이 같은 내용을 담은 2026년도 업무 추진계획을 발표했다. 송경희 개인정보위원장은 “유통·통신 등 국민 생활과 밀접한 분야에서 대형 유출 사고가 반복되고 있고, 플랫폼 경제 확산으로 사고의 파급력도 커지고 있다”며 “그간의 사후 제재 중심 제도로는 한계가 분명해 개인정보 보호 체계를 근본적으로 전환하겠다”고 말했다.
개인정보위는 향후 발생하는 대규모 개인정보 유출 사고에 대해 유출경위, 규모·항목, 안전조치 위반 등을 철저히 조사해 위반행위에 대해 엄정 제재·처분할 계획이다. 특히 반복·중대한 위반 행위에 대해서는 '징벌적 과징금' 특례 신설을 추진한다. 징벌적 과징금은 고의·중과실, 피해 규모 등 특정 요건을 충족하는 경우에 한해 전체 매출액의 최대 10%까지 상향하는 방식이다. 다만 중소기업 등의 과징금 부담 증가를 고려해 기존 3% 과징금 상한은 유지하기로 했다.
단체소송 대상 범위에는 금전적 손해배상을 포함하도록 소송 요건을 확대해 정보주체의 실질적인 피해 구제를 추진한다. 개인정보 분쟁조정 신청과 연계해 소비자 단체 등 공익단체가 대표로 소송을 수행, 일반 국민의 소송비용 부담을 완화한다.
이 같은 제도 개편은 당정 협의를 거쳐 도출된 것으로, 국회에서는 반복·중대 개인정보 침해에 대해 과징금 상한을 매출액의 최대 10%로 상향하는 개인정보보호법 개정안이 박범계 더불어민주당 의원 대표 발의로 제출됐다. 야당인 국민의힘도 대규모 개인정보 유출 사고에 대한 제재·배상 강화 필요성에 공감하고 있어, 여야 합의에 따른 신속한 법안 처리가 기대된다.
송 위원장은 징벌적 과징금 적용 관련 "매출액의 최대 10%까지 부과하는 징벌적 과징금은 중대한 사고나 반복적 위반, 일정 규모 이상의 사업자 등 엄격한 요건을 충족하는 경우에 한해 적용될 것”이라고 설명했다.
그는 이어 "쿠팡 등 법 개정 이전 이미 발생한 사건에 징벌적 과징금을 적용하긴 어렵다"면서도 "손해배상 요건을 포함한 단체 소송의 경우 구체적인 사안을 들여다볼 필요가 있다. 적용 가능성이 있는 부분도 있어 입법 과정에서 보다 명확히 정리하겠다"고 부연했다.
개인정보위는 강력한 제재와 함께 기업의 사전 보호 투자를 유도하기 위한 인센티브도 병행한다는 방침이다. 개인정보 보호를 위한 인력 확충, 보안 시스템 구축 등 선제적 투자를 진행한 기업에 대해서는 과징금 필수 감경이 가능하도록 제도화할 계획이다.
"조사·대응 역량 한계…기술 기반 상시 감시로 전환"
송 위원장은 대규모 유출 사고에 대한 사후 대응 역량의 한계도 인정했다. 그는 “최근 5년간 개인정보보호위원회의 책무가 급격히 확대됐지만, 현재의 제도와 인력, 일하는 방식만으로는 따라가기 벅찬 게 사실”이라며 “국민 눈높이에 부응할 만큼 신속하게 대응하는 데 어려운 측면이 있다”고 말했다.
이어 “인력 확충이 필요하다는 점은 분명하지만, 사후 제재만으로는 대형 사고를 막는 데 한계가 있다”며 “클라우드 환경에서는 한 번 사고가 발생하면 피해 전파 속도와 규모가 매우 크기 때문에 사전 예방과 상시 감시 체계로의 전환이 중요하다”고 강조했다.
개인정보위는 이에 따라 인력 투입 중심의 조사 방식에서 벗어나 기술 기반 대응 체계로 전환한다는 계획이다. AI 기반 이상 징후 탐지, 로그 관리 강화, 자동 감지 시스템 등을 통해 개인정보 유출 위험을 상시 모니터링하는 구조를 구축하고, 기업과 기관에도 이러한 전환을 요구할 방침이다.
개인정보위는 이미 자체 조사 역량 강화를 위해 포렌식센터를 개소했으며, 앞으로 개인정보 수집·유통 흐름을 전문적으로 분석하는 기술분석센터도 구축할 계획이다. 이를 위해 내년도 관련 예산으로 20억원을 우선 확보했다.
이와 함께 2026년 업무계획에는 △유통·플랫폼 등 대규모·민감 개인정보 처리 분야에 대한 사전 실태점검 확대 △정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증 실효성 강화 △중대·반복 위반 기업에 대한 인증 취소 등 사후 관리 강화 방안이 포함됐다. 이밖에 실질적 국민의 침해 피해를 지원하기 위해 개인정보 피해 회복 지원이 가능한 기금을 신설하고 피해 회복형 동의의결 제도 도입도 추진한다.
AI·데이터 활용과 관련해서는 AI 특례 도입과 가명정보 활용 확대, 개인정보 제3자 전송 제도(마이데이터) 확대 등을 통해 AX(인공지능 전환) 환경에서도 개인정보 보호와 활용의 균형을 맞춘다는 방침이다. 딥페이크 대응, 생활밀착형 기기 프라이버시 보호, 국외 이전 관리 강화 등 일상과 글로벌 환경을 아우르는 보호 체계도 함께 추진한다.
송 위원장은 “개인정보 보호는 더 이상 사고 이후 처벌로 해결할 수 있는 문제가 아니다”라며 “사전 예방과 기술 기반 상시 감시 체계를 중심으로, 국민이 일상에서 안심하고 체감하는 신뢰 기반의 AI 융합사회 실현을 위해 역량을 집중하겠다”고 말했다.
/윤소진 기자(sojin@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기