개보위는 1월 개보법 개정안을 입법 예고했다. 개정안의 핵심 내용은 개인정보 유출 기업에 대한 과징금을 상향하는 것이다. 기존에는 법 위반시 해당 서비스 매출의 3% 이하로 과징금을 산정했는데, 개정 후에는 기업의 총 매출액 기준 3% 이하를 적용한다.
하지만 기업과 학계에서는 개인정보보호법(이하 개보법) 개정안이 정보 유출 기업에 대한 처벌에만 방점을 찍었다며 볼멘 목소리를 낸다. 정보 유출을 예방하는 사전 조치와 관련한 내용은 없다는 것이다.
염흥열 순천향대학교 교수(정보보호학)는 "한국은 유럽이나 미국처럼 개인정보 유출 기업에 제대로 된 책임을 묻는 것이 맞고, 과징금 상향은 개인정보 보호를 철저히 해야 한다는 데 대한 경각심을 줄 수 있다"며 "하지만 처벌은 어디까지나 유출에 대한 책임을 묻는 것일 뿐 유출사고를 막을 수 있는 근본 해결책은 아닌 만큼, 정부는 보호조치를 강화하도록 유도를 해야 한다"고 말했다.
염 교수는 개보법 개정안에는 빠졌지만, 정보보호 및 개인정보관리체제(ISMS-P, Personal information & Information Security Management System) 인증을 통한 정보유출 예방이 필요하다고 제언했다.
ISMS 인증은 정보통신망의 안전성 확보를 위해 수립·운영하는 기술적·물리적 보호조치 등을 검증하는 인증이다. ISMS 인증 대상은 인증의무 대상자와 자율 신청 기업으로 나뉜다. 인증의무대상자는 정보통신망법 제47조 제2항에 따라 주요 정보통신 서비스 제공자로, 일정규모 이상의 정보통신 서비스 제공자가 해당한다. 자율신청 기업은 정보통신망법 제47조 제1항에 따라 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하는 자를 말한다.
ISMS-P는 ISMS에 기존 개인정보보호 관리체계(PIMS)를 결합한 인증 제도다. ISMS-P 인증을 받으려면 사업자가 이용자 정보를 수집·관리 시 준수해야 하는 보호조치를 지켜야 한다. 인증을 의무화하면 기업이 개인정보 유출을 예방할 수 있는 조치를 사전에 취할 수 있다.
개보위 관계자는 개인정보 유출 예방을 위한 내용이 개보법 개정안에 빠졌다는 지적에 대해 "과징금 기준을 상향한 것은 궁극적으로 개인정보 유출 사고를 막고자 한 조치다"며 "규제 중심의 개인정보보호 정책에서 벗어나 민간이 자율적으로 개인정보를 보호하는 문화를 조성하는 지원책을 추가로 마련할 것이다"고 말했다.
박영선 인턴기자 0sun@chosunbiz.com