개인정보위 "쿠팡 조사 막바지, 엄정 판단…개정안 통해 예방 중심 전환"

이정렬 개인정보보호위원회 부위원장이 25일 정부서울청사에서 열린 정례브리핑에서 발언하고 있다.ⓒ개인정보보호위원회

쿠팡 대규모 개인정보 유출건을 조사 중인 개인정보보호위원회(개인정보위)가 마무리 단계를 밟고 있다고 밝혔다. 과학기술정보통신부 민관합동조사단과도 조사 현황을 공유 중이며 정확한 유출 경위와 규모는 처분 발표 시점에 공개하겠다고 언급했다.

이와 함께 최근 국회 문턱을 넘긴 개인정보보호법 개정안(쿠팡방지법)을 통해 개인정보 유출 등 침해사고에 대해 엄정한 책임을 묻고, '사후 규제'가 아닌 '사전 예방' 중심의 보호 체계를 구축하겠다는 계획이다.

이정렬 개인정보위 부위원장은 25일 정부서울청사에서 열린 정례브리핑에서 "쿠팡 신고를 접수한 즉시 전담 팀을 구성해 현장에 상주하며 조사 중"이라며 "현재 조사 마무리 단계에 있으며 쿠팡에서 계속 입장문을 내는 상황이라 추가 확인이 필요하다. 민관합동조사단과도 교류하고 있고, 개인정보보호법 위반 여부를 원칙에 따라 아주 엄정히 볼 것"이라고 말했다.

이날 오전 쿠팡 모회사인 쿠팡Inc가 개인정보 유출 계정 3300만개 중 약 200만개가 대만 소재 계정으로 확인됐다고 발표한 데 대해서는 위원회 자체적인 조사가 필요하다고 했다. 쿠팡Inc는 보안업체 맨디언트의 포렌식 결과 이같은 사실이 새로 확인됐으며, 정보를 빼낸 전 직원은 이 중 한 개의 계정 데이터만 저장했다고 설명했다.

이 부위원장은 "쿠팡Inc가 자체적으로 발표한 것이고, 오전 중 쿠팡에 필요한 자료를 다시 요청했다"며 "대만과도 필요하다면 협조할 수 있다"고 부연했다.

지난해 9월 발생한 KT 대규모 해킹 사태도 조사 마무리 단계에 접어들었다. 조사 과정에서 악성코드에 감염된 서버가 추가로 발견되며 시간이 오래 소요됐지만, 현재 위법 사실을 확인 중이고 머지 않은 시점에 마무리될 것이라는 설명이다.

554만명의 고객 정보가 유출된 교원그룹, 462만건의 개인정보가 빠져나간 따릉이는 아직 조사 초기 단계로, 시간이 더 소요될 전망이다. 개인정보위는 이들 외에도 넷마블, 롯데카드, GS리테일, SK쉴더스 등 다수 기업의 정보 유출 사건을 조사 중이다.

개인정보보호위원회가 25일 정부서울청사에서 이정렬 부위원장 주재 정례브리핑을 개최했다.ⓒ개인정보보호위원회

개인정보 유출 사고가 발생한 기업들을 면밀히 조사하는 것과 함께 법적·제도적 근거 마련을 통한 개인정보 유출 방지와 기업 책임 강화를 도모한다. 이를 통해 사후 규제 중심에서 사전 예방 중심의 보호 체계를 구축한다.

쿠팡 사태로 급물살을 탄 개인정보보호법 개정안은 최근 국회 본회의를 통과했으며, 국무회의 의결을 거쳐 공포 후 6개월 후 적용된다. 개정안은 개인정보 처리자가 법 위반을 반복하거나 대규모 피해를 발생시킬 시 제재 실효성을 높이기 위해 '징벌적 과징금'을 도입한 것이 핵심이다.

이 부위원장은 "고의중과실, 1000만건 이상 개인정보 유출, 시정명령 외면 후 동일 사안으로 개인정보보호법 위반 등 세 가지 사유 중 하나에 해당할 경우 전체 매출액의 10%에 달하는 징벌적 과징금을 부과하기로 했다. 업계, 학계와 소통하며 시행령을 빠른 시일 내에 마련하겠다"며 "개인정보보호 분야 투자가 비용이 아닌 기업 경쟁력을 확보하는 수단이라고 (기업들이) 판단할 수 있도록 여러 시정체계를 갖추겠다"고 설명했다.

개정안에는 유출 가능성 통지제도 추가됐다. 현행법은 유출됐음을 알았을 때 정보 주체에게 통지하도록 규정해 통지가 지연되는 문제가 있었는데, 앞으로는 유출 가능성이 있는 단계에서도 통지해야 한다. 이 부분은 시행령에서도 크게 변동되지 않을 전망이다.

이 부위원장은 "사전실태점검도 예방 정책의 대표적인 예시로, 최근 전담과로 탄생했으며 7명으로 구성돼 있다"며 "올해 위원회에서 역점 분야로 보고 투자 중이며, 사전 예방 종합 계획을 마련 중으로 내달 발표할 예정"이라고 말했다.

또 개인정보보호책임자(CPO) 지정·변경·해제 시 이사회 의결을 의무화하고 이를 당국에 신고하는 신고제가 도입된다.

윤여진 자율보호정책과 과장은 "전문 CPO 지정 신고제의 경우, 공공시스템을 운영하는 기관은 오는 9월 14일까지, 상급 종합병원이나 재학생 2만명 이상 대학 등은 오는 3월 14일까지 관련 내용을 개인정보위에 신고해야 한다"고 했다.

공공·민간 주요 개인정보처리자에 대해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 등 내부 관리 책임도 강화한다. 현재 ISMS-P 인증제도는 자율의 영역인데, 공공 시스템을 운영하는 58개 기관과 통신사 등 영향력이 높은 민간 분야에는 인증 취득을 의무화한다.

아울러 이 부위원장은 개인정보 유출 사고가 급증하며 과징금을 부과받은 기업들과 위원회 간 행정소송이 늘고 있지만, 이를 대응할 인력과 예산이 턱없이 부족하다며 소송 수행을 담당하는 송무과를 따로 마련해야 한다고 강조했다.

이 부위원장은 "위원회 출범 후 34건 정도 소송이 발생했는데, 이 중 16건은 완료했고 18건이 진행 중이다. 추세가 급격하게 늘며 작년에만 10건이 추가됐다"며 "예산도 갈 길이 멀지만 올해 기준으로 8억원 정도를 확보했다. 현재 총 5명으로 전담팀을 운영 중인데, 송무과를 신설해야 전문적으로 적기에 대응할 수 있다고 본다"고 말했다.