통신사 해킹에 칼 빼든 개인정보위…"CEO 책임 강화, 징벌적 과징금 검토"(종합)

최장혁 개인정보보호위원회 부위원장이 9월 11일 오전 서울 종로구 정부서울청사에서 '개인정보 안전관리체계 강화 방안' 에 대해 브리핑하고 있다.ⓒ개인정보보호위원회

정부가 SK텔레콤의 대규모 고객 정보 유출 사고를 계기로 반복해서 개인정보 유출 사고가 일어나는 기업에 과징금을 가중하고, 중장기적으로 징벌적 과징금 부과하는 방안을 검토한다. 이를 통해 최고경영자(CEO)들이 개인정보 보호 문제를 전사적인 사안으로 인지하도록 한다는 방침이다.

반면 선제적으로 개인정보 보호에 투자한 기업에는 추후 개인정보 유출 사고 발생 시 과징금을 경감해주는 식의 인센티브 제도를 마련한다. 이와 함께 그간 국고로 귀속됐던 유출사고 관련 과징금이 피해자 구제에 직접 활용될 수 있도록 '개인정보 피해구제 기금' 도입을 추진한다.

최장혁 개인정보보호위원회 부위원장은 11일 오전 정부서울청사에서 진행된 '개인정보 안전관리체계 강화 방안' 브리핑에서 이같은 내용을 발표했다.

최 부위원장은 "SKT 고객정보 유출 사고에서 드러난 사후 규제 중심의 제도적, 기술적 미비점을 보완하고 기업들이 적극적이고 선제적인 안전조치를 할 수 있는 인센티브 중심 체계를 마련하고자 한다"고 말했다.

개인정보 분야 선제 투자 기업에 인센티브...CEO 책임 확대

개인정보위가 추진하는 개인정보 안전관리체계 강화 방안의 핵심은 사후적 조치보다 사전적 예방으로 하는 안전관리 체계를 구축하는 것이다. 물론 엄정한 제재 기조는 유지한다.

우선, 주요 개인정보처리시스템을 대상으로 외부에 노출된 취약점을 제거하고 이상징후를 탐지하는 등 공격표면관리를 강화한다. 이미 유출된 정보가 다크웹 등에서 불법 유통되는지도 탐지한다.

동시에 평소 개인정보 보호를 위한 적극적인 보호조치를 한 기업에는 추후 사고 발생 시 과징금을 감경해주는 등의 인센티브 체계를 정비한다. 유출 사고가 발생한 기업들이 신속하게 개인정보위에 신고할 수 있는 제도 정비도 병행한다.

최 부위원장은 "선제적으로 개인정보 보호에 투자한 기업에 대해 과징금을 감해주는 부분이 있고, 해킹 피해가 국가적 과제인 만큼 장기적으로는 기획재정부와 협의해 세금을 확대하는 것을 논의할 시점이 됐다고 생각한다"며 "기업들의 유출 판단이 어려울 수 있으나, 이것이 확인될 시 즉시 신고하도록 제도를 강화 및 정비 중"이라고 설명했다.

이와 함께 개인정보 보호에 대한 최고경영자(CEO)의 책임을 강화한다. 단순히 CPO(개인정보보호책임자)나 보안 부서의 문제라고 치부하는 것이 아니라 최고경영자에게 개인정보 보호 관련 위험관리 및 내부통제에 관한 최종적인 책임이 있음을 명확히 한다. 이와 함께 CPO가 자율성과 책임성을 가지고 개인정보 처리에 관한 건들을 총괄해 통제할 수 있도록 역할과 권한을 늘린다.

최장혁 개인정보보호위원회 부위원장이 9월 11일 오전 서울 종로구 정부서울청사에서 '개인정보 안전관리체계 강화 방안' 에 대해 브리핑하고 있다.ⓒ개인정보보호위원회

개인정보보호 관리체계 인증 제도 고도화...사후관리 강화

기업의 자율적 보호 노력을 평가 및 인증하는 ISMS-P(개인정보보호관리체계) 인증 제도를 보완한다. 인증 체계 자체를 고도화하고, 그동안은 기업이 선택한 항목에 대해서만 평가나 인증을 진행했다면, 이제는 항목을 전 분야로 확대한다. 신원 도용을 통한 2차 피해 우려가 큰 이동통신 서비스와 모바일 신원확인 서비스는 ISMS-P 인증을 의무화한다.

실제 대규모 고객 정보 유출 사고가 발생한 SKT는 지난해 ISMS-P 인증을 취득한 바 있어 제도의 실효성에 의문이 제기되고 있다.

최 부위원장은 "ISMS-P 인증을 취득한 기업들에서 사고가 나는 것은 유감스럽다. 이번 사고는 제도의 맹점에서 비롯됐다"며 "ISMS-P는 본인들이 선택한 분야에 대해서만 받을 수 있었다. 이들이 웹 서비스 위주로 평가 및 인증을 요청했고, 네트워크 서비스 부문은 검사를 받지 않았다. 주요 사고는 네트워킹 부문에서 일어난 것이라 선택적으로 인증을 받지 못하도록 제도를 개선할 방침"이라고 언급했다.

양청삼 개인정보정책국장은 "ISMS-P 인증을 가지고 있다고 사고가 일어나지 않는 것은 아니지만, 그간 평가 후 잔여 위험 요소에 대해서는 회사에서 보완계획을 마련하면 이를 결함 해소로 판단하고 인증을 발급했다"며 "앞으로는 개인정보 유출 사고와 직결되는 패치 관리나 접근 통제 등 핵심 항목에 대해 심사 과정에서 기준 미달이면 예비 심사에서 이를 파악하고, 추후 실체적인 보완이 이뤄지면 인증서를 발급하는 쪽으로 제도를 보완할 것"이라고 부연했다.

개인정보 유출 사고 반복 시 과징금 가중…피해자 구제용 기금 마련

개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄중하게 제재하고, 중장기적으로는 징벌적 과징금 등을 통해 제재 실효성을 높인다. 과징금 규모가 일정 수준 이상이어야 기업에서도 사안을 심각하게 받아들인다는 현실적 판단에서 비롯됐다.

개인정보 보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토 및 추진한다. 과징금을 재원으로 개인정보 유출 사고 피해자 구제에 활용될 수 있는 개인정보 피해구제 기금 도입을 위한 연구를 추진한다.

앞서 SKT 고객정보 유출사고에 따른 과징금은 전액 국고로 귀속돼 개인정보가 유출된 고객의 피해구제에 활용할 수 없는 모순적 상황이 발생했다. 피해구제 실질화를 위한 방안은 내년 하반기까지 마련될 예정이다.

최 부위원장은 "현재의 법을 활용하면 과징금 가중이나 감경은 충분히 가능할 것으로 보인다"며 "현재 과징금이 피해를 입은 국민들과 관련 없는 곳에 가고 있는데, 기금에 대한 부분은 기획재정부와 협의를 진행할 것"이라고 말했다.

그는 "앞서 과징금을 기업 매출의 3%로 올린 것도 결국 개인정보 보호 문제에 대한 CEO들의 관심을 유도하기 위함"이라며 "SKT 사태로 개인정보 관련 문제가 관련 부서가 아닌 기업 자체의 문제라고 인식하는 계기가 됐으면 한다"고 강조했다.