SKT 해킹에 경각심 커졌다…개인정보위, 사고 반복 기업 과징금 가중시킨다

고학수 개인정보보호위원회 위원장.ⓒ개인정보보호위원회

개인정보보호위원회가 SKT 고객정보 유출 사고와 같은 대규모 개인정보 유출 사고를 예방하기 위해 '개인정보 안전관리 체계 강화 방안'을 마련해 추진한다.

여기에는 개인정보 보호 분야의 인력 및 예산 기준을 마련하고 최고경영자(CEO) 책임을 강화하는 한편, 사고가 반복적으로 일어나는 기업에 대한 과징금을 가중시키는 등의 내용이 담겼다. 이와 함께 평소 선제적으로 개인정보 보호를 위한 조치를 한 기업에는 인센티브 제공 체계를 정비한다.

현행 개인정보 보호법은 개인정보처리자가 반드시 준수해야 할 최소한의 법적 의무 사항을 중시믕로 규율하고 있다. 기업이 이보다 적극적인 보호조치를 해야 할 제도적 유인이 부족하다. 급속히 발전하고 있는 해킹 기술을 고려할 때 유출 사고 발생 시마다 규제를 추가하는 방식으로 유연하게 대처할 수도 없다.

이에 개인정보위는 엄정한 제재 기조를 유지하면서도 사후적 조치보다는 사전적 예방을 중심으로 하는 개인정보 안전관리 체계로의 패러다임 전환을 꾀한다.

선제적 제도 개선…사고 기업 사후관리 강화

우선, 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화하고, 주요 정보에 대한 암호화 적용 확대 등 선제적 조치를 정례화한다.

또한 평소 개인정보 보호를 위한 선제적·적극적 보호조치를 한 기업에 대한 인센티브 제공(과징금 감경 등) 체계 정비를 추진한다.

이미 유출된 개인정보가 웹·딥웹·다크웹 등에서 불법 유통되는지 여부를 탐지하고, 관련 정보 발견시 해당 사업자 및 유관기관에 신속히 공유해 유출경로 확인 및 차단조치 등 2차 피해를 예방한다.

개인정보 보호 수준을 평가 및 인증하는 '개인정보보호 관리체계' 인증 제도는 현장심사 중심으로 고도화하고, 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템·이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선을 추진한다.

개인정보 분야 선제 투자 시 인센티브…CEO 책임 확대

개인정보 보호 분야의 투자 확대를 위한 구체적 기준을 제시하고, 관련 기업이나 공공기관에서 이러한 기준을 충족하기 위해 어느 정도 노력했는지 여부에 따라 다양한 인센티브 제공을 검토 및 추진한다. 인센티브로는 유출 사고 발생 시 책임 경감, 공공기관 개인정보 보호 수준 평가 시 가점 등이 거론된다.

이와 함께 최고경영자에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 한다. 동시에 실질적인 관리주체인 개인정보보호책임자(CPO)가 자율성과 책임성을 가지고 여러 부서의 개인정보 처리에 관한 사항을 총괄해 내부통제 할 수 있도록 지정 신고제를 도입한다. 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화한다.

아울러 그동안 공공분야에서 대규모 개인정보처리스템을 신규 구축 또는 변경하는 경우에 의무적으로 적용하고 있는 '개인정보 영향평가'를 민간에서도 활성화 될 수 있도록 대상·방법·기준 구체화, 평가기관 및 인력의 전문성 제고 등을 통해 자율적 수행 기반을 마련한다.

이외에도 대규모 수탁사(클라우드 서비스 사업자 등)나 솔루션 공급자 같은 법적 사각지대를 관리하고, 개인정보 안심설계 인증제 도입을 통해 중소 사업자들이 개인정보 보호 수준이 검증된 제품을 사용하도록 권장한다.

반복적인 유출 사고에 과징금 가중…제재 실효성 제고

개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄중하게 제재하고, 중장기적으로는 징벌적 과징금 등을 통해 제재 실효성을 높인다.

개인정보 유출로 인한 피해가 예상될 시 실제 유출자를 포함해 유출 가능성이 있는 모든 사람에게 유출 통지를 확대한다.

또한 개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토 및 추진한다.

그 밖에도 개인정보위는 시장감시 및 권리구제 지원을 위한 '개인정보 옴부즈만'을 설치하는 한편, 전문인력 양성 및 신기술이나 신제품의 개인정보 침해 위협 선제대응 등을 통해 정보주체의 권리구제 기반을 강화한다.

일정 규모 이상의 기업에서 개인정보 유출과 같은 예상치 못한 사고에 대비하기 위한 다양한 보험상품 개발 및 개선 유도를 통해 손해배상 보장제도의 내실화 및 유연화, 자율적 피해구제 확산을 지원한다.

고학수 개인정보위 위원장은 "이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 위한 투자를 '불필요한 비용'이 아닌 고객의 신뢰 확보를 위한 '기본적 책무'이자 '전략적 투자'로 인식하길 바라며, 이를 통해 개인정보 보호에 대한 국민적 신뢰가 확산되기 바란다"고 말했다.