최근 에스케이텔레콤(SKT)에서 발생한 대규모 고객정보 유출 사고는 국민 생활에 막대한 영향을 미치며 개인정보 보호 안전 관리 체계의 심각한 미비점을 드러냈다. 이는 단순히 한 기업의 문제가 아니라, 급속도로 발전하는 해킹 기술에 비해 기업들의 대응이 사후 땜질식 처방과 제재에 그치고 있다는 근본적인 문제점을 시사한다. 개인정보보호위원회는 이러한 문제점을 해결하고 유사 사고의 재발을 방지하기 위해 ‘개인정보 안전관리 체계 강화 방안’을 마련하고, 특히 사고 반복 기업에 대한 징벌적 과징금 도입을 검토하는 등 엄정한 처벌을 예고했다.
개인정보위가 발표한 강화 방안은 크게 제도 개선, 내부통제 강화, 그리고 엄정한 처분 및 권리 구제 실질화로 나뉜다. 먼저, 제도 개선 측면에서는 주요 개인정보처리시스템의 취약점을 제거하고 이상 징후를 탐지하는 공격표면관리를 강화하며, 선제적 조치를 정례화한다. 또한, 평소 개인정보 보호를 위한 적극적인 노력을 기울인 기업에는 과징금 감경 등 인센티브를 제공하는 체계를 정비한다. 유출된 개인정보의 불법 유통 여부를 탐지하고 관련 정보를 신속히 공유하여 2차 피해 확산을 막는 조치도 강화한다. 개인정보보호 관리체계(ISMS-P) 인증 역시 신종 해킹 기법을 고려하여 현장 심사 중심으로 고도화하고, 사고 기업에 대한 사후 관리를 강화한다.
내부통제 강화는 개인정보 보호 분야의 인력 및 예산 투자 확대를 위한 구체적 기준을 제시하는 것으로 시작된다. 기업 최고경영진에게 개인정보 보호 관련 위험 관리와 내부통제에 대한 최종 책임을 명확히 부여하며, 실질적인 관리주체인 개인정보보호책임자의 자율성과 책임성을 강화하기 위해 지정 신고제 도입, 이사회 보고 의무화, 직무 여건 보장 등을 추진한다. 또한, 민간 부문에서도 개인정보 영향평가를 활성화하기 위한 대상, 방법, 기준을 구체화하고 평가기관 및 인력의 전문성을 제고한다.
마지막으로, 개인정보 유출 사고가 반복되는 기업에 대해서는 과징금 가중 등 엄정하게 제재하고, 중장기적으로는 징벌적 과징금 도입을 통해 제재의 실효성을 높일 계획이다. 대규모 정보 유출로 중대한 피해가 예상될 경우, 실제 피해자뿐만 아니라 유출 가능성이 있는 모든 사람에게 통지하는 등 추가 피해 확산 방지 조치를 강화한다. 과징금을 실제 유출 사고 피해자 구제에 활용하는 방안도 마련되며, 시장 감시와 권리 구제 지원을 위한 개인정보 옴부즈만 설치, 전문 인력 양성, 신기술·신제품의 개인정보 침해 위협 선제 대응 등 정보 주체의 권리 구제 기반을 강화한다. 더불어, 예상치 못한 사고 대비를 위한 다양한 보험 상품 개발 및 개선을 유도하여 손해배상 보장 제도를 내실화하고 자율적 피해구제를 지원한다.
이번 ‘개인정보 안전관리 체계 강화 방안’이 산업 현장에서 실질적으로 적용된다면, 기업들은 개인정보 보호를 단순한 의무가 아닌 고객 신뢰 확보를 위한 기본적 책무이자 전략적 투자로 인식하게 될 것이다. 이는 궁극적으로 개인정보 보호에 대한 사회 전반의 신뢰를 확산시키는 계기가 될 것으로 기대된다.
About the Author
