지난 4월 18일 발생한 SKT 고객정보 유출 사고는 국민 생활에 막대한 영향을 미치는 대규모 개인정보 유출 사고를 예방하기 위한 「개인정보 안전관리 체계 강화 방안」 마련의 직접적인 배경이 되었다. 이번 강화 방안은 SKT 사고에서 드러난 제도적, 기술적 미비점을 보완하고, 사후 제재 중심의 접근 방식으로는 급속히 발전하는 해킹 기술에 효과적으로 대응하기 어렵다는 문제 인식에서 출발한다. 이에 따라 기업이 보다 적극적이고 선제적인 안전 조치를 취하도록 유도하는 인센티브 중심 체계 마련이 핵심 방향으로 설정되었다.
현재의 규제 시스템은 개인정보처리자가 반드시 준수해야 하는 최소한의 법적 의무 사항 중심으로 운영되고 있으며, 기업이 이보다 더 적극적인 보호 조치를 취해야 할 제도적 유인이 부족한 상황이다. 급속히 발전하는 해킹 기술에 대응하기 위해 유출 사고 발생 시마다 규제를 추가하는 기존 방식으로는 신종 해킹 기법에 유연하게 대처하기 어렵다는 한계가 지적된다. 또한, 많은 기업에서 개인정보 보호를 단순히 법적 의무사항만 이행하는 ‘비용’으로 인식하는 관행이 개인정보 보호를 위한 인적, 물적 투자 규모가 세계적 수준에 비해 낮은 배경으로 작용하고 있다. 통계청 조사에 따르면 국민 과반수 이상이 개인정보 유출에 대해 안전하지 않다고 인식하고 있으며, 정보기술 투자액 대비 정보보호 부분 투자 비율 또한 한국이 미국에 비해 낮은 것으로 나타났다.
동일한 원인으로 유출 사고가 반복되는 기업에 대한 제재 체계 또한 부족하며, 부과된 과징금이 국고에 귀속되어 실제 피해자의 권리 구제에는 활용되지 못하는 모순적인 상황도 존재한다. 또한, 현행법상 개인정보 유출 통지는 확인된 피해자를 대상으로 하고 있으나, 유출 가능성이 있는 모든 사람에게 신속히 통지하여 추가적인 피해 확산을 방지하는 조치가 필요하다는 지적이 제기되었다.
이러한 문제점을 해결하기 위해 개인정보보호위원회는 ‘사고 예방 및 선제적 제도 개선’, ‘상시적 내부통제 강화’, ‘엄정 처분 및 권리구제 실질화’라는 세 가지 핵심 방향을 설정했다. 먼저, 주요 개인정보처리시스템에 대한 공격표면관리를 강화하고 이상 징후 탐지를 확대하며, 주요 정보 암호화 적용을 확대하는 등 선제적 조치를 정례화한다. 또한, 평소 선제적이고 적극적인 보호 조치를 한 기업에 대한 과징금 감경 등 인센티브 제공 체계를 정비하고, 유출된 개인정보의 불법 유통 여부를 탐지하여 2차 피해 예방을 지원한다. 개인정보보호 관리체계(ISMS-P) 인증 체계도 고도화하고, 핵심 공공시스템 및 이동통신 서비스 등 대상 단계적 의무화도 추진할 계획이다.
내부통제 강화 측면에서는 개인정보 보호 분야의 인력 및 예산 투자를 확대하기 위한 구체적 기준을 제시하고, 최고경영자(CEO)의 개인정보 보호 관련 최종 책임을 명확히 하며, 개인정보보호책임자(CPO)의 법적 권한과 역할을 강화한다. 민간에서의 개인정보 영향평가 활성화를 위한 기반을 마련하고, 대규모 수탁사 및 솔루션 공급자 등 법적 사각지대 관리를 강화하며, ‘개인정보 안심설계 인증제’ 도입을 통해 중소 사업자의 보안 역량 제고를 추진한다.
엄정한 처분 및 권리구제 실질화를 위해 사고 반복 기업에 대한 과징금 가중 등 제재를 강화하고, 중장기적으로는 징벌적 과징금 도입을 검토한다. 개인정보 유출로 중대한 피해가 예상되는 경우, 유출 가능성이 있는 모든 사람에 대한 유출 통지를 확대하여 추가 피해 확산을 방지한다. 또한, 「개인정보 보호법」 위반에 따른 과징금을 실제 유출 사고 피해자 구제에 활용하는 방안을 검토하고, ‘개인정보 옴부즈만’ 설치, 전문 인력 양성 등을 통해 정보주체의 권리구제 기반을 강화한다. 더불어, 일정 규모 이상 기업의 예상치 못한 사고 대비를 위한 보험 상품 개발 및 개선 유도를 통해 손해배상 보장 제도의 내실화를 지원한다.
이번 「개인정보 안전관리 체계 강화 방안」은 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회 및 의견 수렴을 통해 합리적 기준을 설정하고, 법령·고시 반영 및 예산 확보 등의 후속 조치를 추진할 예정이다. 고학수 개인정보위 위원장은 이번 사고를 계기로 대규모 개인정보를 처리하는 사업자들이 개인정보 보호를 ‘불필요한 비용’이 아닌 ‘기본적 책무’이자 ‘전략적 투자’로 인식하여 국민적 신뢰를 확산시키기를 바란다고 밝혔다.
About the Author
