개인정보유출, 사후 대응에서 선제적 보호로 관리 체계 강화한다

[산업일보]
SKT 침해사고, KT 무단 소액결제 등 대규모 개인정보 유출사고가 연이어 발생하고 있다. 이에, 개인정보보호위원회가 개인정보 안전관리 체계를 강화하는 방안을 내놨다.

개인정보위가 서울정부종합청사에서 11일 진행한 브리핑에 따르면, 이번 강화 방안은 4월 발생한 SKT 침해사고에서 드러난 제도적·기술적 미비점을 보완하기 위해 마련됐다.

브리핑에서 개인정보위 최장혁 부위원장은 “사고 발생 후 새로운 규제를 양성하는 ‘사후 땜질식’ 처방으로는 급변하는 해킹 기술에 대응하기 어렵다”라고 지적하며 “기업이 보다 적극적·선제적으로 안전 조치를 할 수 있도록 인센티브 중심의 체계로 전환하는 것이 핵심”이라고 밝혔다.

개인정보위는 ‘국민 신뢰를 받는 개인정보 안전관리 체계 조성’을 목표로 ▲선제적 제도 개선 ▲상시적 내부통제 강화 ▲엄정한 처분 및 권리구제 실질화 3가지 부분에서 12개 중심 추진 과제를 도출했다.

우선, 유사 사고 예방을 위해 기존 제도를 개선한다. 외부 노출 취약점 제거, 이상 징후 탐지와 같은 선제적 조치와 다크웹 탐지를 통해 2차 피해 예방 활동을 강화한다. 선제적·적극적 보호조치를 수행한 기업에는 과징금 경감을 비롯한 인센티브를 제공한다.

개인정보 관리체계 인증제도인 ‘ISMS-P’의 현장 실사 및 사고 기업 사후 관리도 강화하며, 장기적으로는 핵심 공공시스템·이동통신서비스 등 대상의 단계적 의무화와 전반적인 인증품질 개선 향상을 위한 제도 개선도 함께 추진한다.

기업과 공공기관에서 전사적 차원의 개인정보 보호가 상시 이뤄지도록 내부통제 강화 정책도 펼친다. 개인정보 보호 인력이 확대될 수 있도록 구체적 기준을 제시하고, 기업·기관의 개선 노력을 유도할 수 있는 다양한 인센티브 제공 방안을 마련한다.

이와 함께, 기업 최고경영자에 내부 통제에 대한 최종 책임이 있음을 명확히 해 개인정보 보 보호를 기업의 기본적 책무로 인식 전환을 꾀한다. 실제 관리 주체인 개인정보책임자(CPO)가 자율성과 책임성을 갖고 업무 수행이 가능하도록 법적 권한과 역할도 강화한다.

개인정보위는 반복되는 개인정보 유출사고에 대해 보다 엄정한 제재로 경각심을 가질 수 있도록 하고, 피해자의 권리구제 실질화에도 힘쓸 계획이다.

같은 방식의 개인정보 유출 사고가 반복되는 기업에는 과징금을 가중해 상응하는 책임을 부과한다. 또한 개인정보보법 위반에 따른 과징금을 유출사고 피해자 구제에 활용하는 방안을 검토할 예정이다.

최장혁 부위원장은 “그 밖에도 시장감시 및 권리구제 지원을 위한 ‘개인정보 옴부즈만’을 설치하고, 다양한 보험상품의 개발·개선을 유도해 손해배상 보장제도를 내실화할 것”이라며 “사업자 설명회 및 의견 수렴을 통해 이번 강화 방안이 산업 현장에 실질적으로 적용될 수 있도록 합리적 기준을 명확히 설정하고, 기준 미준수에 따른 유출사고 발생 시 엄정 제재할 것”이라고 말했다.

이어 “대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 불필요한 비용이 아니라, 고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하기 바란다”라고 강조했다.