개인정보 안전관리 체계 강화 방안 발표
사고예방·선제적 제도개선, 보호책임자(CPO) 역할 강화
엄정 처분·권리구제 실질화
사고예방·선제적 제도개선, 보호책임자(CPO) 역할 강화
엄정 처분·권리구제 실질화
[파이낸셜뉴스] 개인정보보호위원회가 대규모 개인정보 유출 사고 재발을 막기 위해 사후 제재 중심의 규제 체계를 사전 예방 중심으로 전환한다. 반복적으로 유출 사고를 일으킨 기업에는 가중 과징금 부과와 함께 징벌적 제재 도입을 검토하는 한편, 개인정보 보호에 선제적으로 투자한 기업에는 책임을 일부 경감해주는 인센티브 체계도 추진한다. 공공기관에만 적용되던 개인정보 영향평가를 민간까지 확대하고, 피해자 권리 구제를 위해 보험·손해배상 제도 강화 방안도 포함됐다.
■"사후 대책 → 선제적 예방"
개인정보보호위원회는 최근 SKT 고객정보 유출 사건을 계기로 이같은 내용을 골자로 한 '개인정보 안전관리 체계 강화 방안'을 11일 발표했다.
이번 방안의 핵심은 최근 유출 사고에서 드러난 제도적·기술적 미비점을 보완하고, 그간의 사후 땜질식 처방과 제재 만으로는 급속히 발전하는 해킹 기술에 적절하게 대응하기 어렵다는 문제 인식을 기반으로 기업이 보다 선제적인 안전조치를 할 수 있도록 하는 인센티브 중심 체계 마련이다.
특히 동일한 원인으로 유출사고가 반복되는 기업 등에 보다 엄정한 제재를 부과할 수 있는 체계가 부족하고, 과징금은 전액 국고에 귀속돼 실제 피해자의 권리구제를 위해서는 활용할 수 없는 점도 문제점으로 지적했다.
이에 따라 개인정보위는 SKT와 같은 대규모 사고를 예방하기 위해 주요 개인정보 처리시스템을 대상으로 취약점 제거, 공격표면 관리 강화, 이상 징후 탐지, 암호화 확대 등을 정례화한다. 이미 침투 흔적이 발견된 시스템은 선제적 기술 조치를 통해 추가 피해를 막겠다는 구상이다.
보호 수준을 객관적으로 평가하는 ISMS-P 인증 제도도 고도화된다. 지금까지는 서류심사 중심이었지만 앞으로는 취약점 점검과 모의해킹 같은 현장 심사를 강화한다.
■CPO 권한 강화..문제 기업엔 징벌적 과징금
경영진 책임성도 강화한다. 기업 최고경영자(CEO)의 최종 책임을 법적으로 명확히 하고, 개인정보보호책임자(CPO)에게는 이사회 보고 의무와 직무 보장 등 권한을 강화한다. 기업의 인력·예산 투입 기준을 구체화해 충족 정도에 따라 과징금 감경 등 인센티브 제공 체계 정비를 추진한다. 개인정보 보호를 비용이 아니라 기업의 기본 책무이자 전략적 투자로 인식하도록 유도하겠다는 취지다.
특히 반복적으로 해킹을 당하는 기업에게는 과징금 가중 등 엄정한 제재를 가하고, 중장기적으로 징벌적 과징금 등 제재 처분의 실표성 제고도 검토하기로 했다. 과징금을 실제 유출사고 피해자 구제에 활용하는 방안도 추진한다.
이 외에도 개인정보위는 시장감시 및 권리구제 지원을 위한 ‘개인정보 옴부즈만’을 설치하는 한편, 전문인력 양성 및 신기술ㆍ신제품의 개인정보 침해 위협 선제대응 등을 통해 정보주체의 권리구제 기반을 강화한다.
개인정보위는 이번 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회와 의견수렴을 통해 인력, 예산, 인센티브 등을 합리적 기준으로 명확히 하고, 이를 법령ㆍ고시에 반영하거나 관련 예산을 확보하는 등의 후속조치를 차질없이 추진할 예정이다.
대부분의 법률 개정사항은 올해 내 개정안을 마련해 내년 상반기 국회에 제출하고, 중장기 검토가 필요한 사항은 2026년까지 입법을 추진한다.
고학수 개인정보위 위원장은 “이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 ‘불필요한 비용’이 아닌 고객의 신뢰 확보를 위한 ‘기본적 책무’이자 ‘전략적 투자’로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다”고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지